完美绕开CRC32检测的无痕hook

2023-12-29 23:10

本文主要是介绍完美绕开CRC32检测的无痕hook,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

什么是Hook?

Hook分类

初级hook

通过软件断点来实现Hook

设置硬件断点实现无痕Hook

断点寄存器

处理

单步步入

线程劫持 


什么是Hook?

Hook 英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从 A 顺序来执行,此时我们在A点做Hook,将程序执行路线变成了 从 A点 先到 C点 再到 B点,这个过程就叫Hook,C点 这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序执行出我们想要的结果。 (记住此时的 A B C,下文都以此为例)

Hook分类

初级hook

初级hook虽然被上述图中(图是网上随便找的🙂)定义为low bi Hook,但却是对Hook原理的最好诠释,正如图中的解释过程一样,是通过jmp Call 等指令 实现的跳转,这样一来就会大量破坏源代码,并且我们在C中处理结束后,必须恢复被修改的源码,才能让程序正常运行。因此过程涉及以下关键点:

① 在A点 修改机器码 跳转到 C点 时,使用 jmp/call  实现

② 修改前需要保存原数据,以便恢复数据

③ 可以通过 pushad pushfd 将CPU寄存器信息入栈,再传入参数 esp ,通过esp 来访问和修改寄存器信息

④ 可以通过 修改 EIP 的值,来返回

通过软件断点来实现Hook

软件断点实现的本质就是在下断点的地方插入int3,也被称之为CC断点

断点是一种异常,为什么异常会实现跳转,又是怎么指定调转位置,以下必须对Windows的异常处理机制做一定描述。

Windows正常启动后,将运行在保护模式下,当有中断或异常发生时CPU会通过中断描述符
表(DescriptorTable,IDT)来寻找处理函数。因此,IDT表是CPU(硬件)和操作系统(软
件)交接中断和异常的关口

也就是说当程序出现异常之后,CPU会去找一张表中去查找处理该异常的处理函数。那么如果我们手动让程序在 A点 出现异常,CPU就会去表中找处理A点异常的处理函数,那此时如果我们把我们的 过程包装成 处理A点异常的处理函数,那么也就是实现了 从A 点 跳转到 C 点的过程,这个跳转跳转过程是 CPU帮我们实现的。

如何包装C点为处理函数,如何让C成为A点的处理函数? 一个API可以解决

异常处理函数:

LONG NTAPI AddVectoredExceptionHandler(

  _In_UlON First,

异常处理函数被调用的顺序

  _In_PVECTORED_EXECUTE_HANDLER Handler

异常处理回调函数

 此时当异常发生,CPU会第一时间调用异常回调函数,并传递一个PEXCEPTION_POINTERS作为参数。

typedef struct _EXCEPTION_POINTERS {PEXCEPTION_RECORD ExceptionRecord;PCONTEXT          ContextRecord;
} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;

它包含了所有异常信息和cpu信息 。 

PEXCEPTION_RECORD 结构体如下——微软文档

typedef struct _EXCEPTION_RECORD {DWORD                    ExceptionCode;DWORD                    ExceptionFlags;struct _EXCEPTION_RECORD  *ExceptionRecord;PVOID                    ExceptionAddress;DWORD                    NumberParameters;ULONG_PTR                ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
} EXCEPTION_RECORD, *PEXCEPTION_RECORD;

因为我们是设置的软件断点,那么我们这里的ExceptionCode则为 EXCEPTION_BREAKPOINT 

PCONTEXT结构体如下——PCONTEXT微软文档

typedef struct _ARM64_NT_CONTEXT {
  DWORD            ContextFlags;
  DWORD            Cpsr;
  union {
    struct {
      DWORD64 X0;
      DWORD64 X1;
      DWORD64 X2;
      DWORD64 X3;
      DWORD64 X4;
      DWORD64 X5;
      DWORD64 X6;
      DWORD64 X7;
      DWORD64 X8;
      DWORD64 X9;
      DWORD64 X10;
      DWORD64 X11;
      DWORD64 X12;
      DWORD64 X13;
      DWORD64 X14;
      DWORD64 X15;
      DWORD64 X16;
      DWORD64 X17;
      DWORD64 X18;
      DWORD64 X19;
      DWORD64 X20;
      DWORD64 X21;
      DWORD64 X22;
      DWORD64 X23;
      DWORD64 X24;
      DWORD64 X25;
      DWORD64 X26;
      DWORD64 X27;
      DWORD64 X28;
      DWORD64 Fp;
      DWORD64 Lr;
    } DUMMYSTRUCTNAME;
    DWORD64 X[31];
  } DUMMYUNIONNAME;
  DWORD64          Sp;
  DWORD64          Pc;
  ARM64_NT_NEON128 V[32];
  DWORD            Fpcr;
  DWORD            Fpsr;
  DWORD            Bcr[ARM64_MAX_BREAKPOINTS];
  DWORD64          Bvr[ARM64_MAX_BREAKPOINTS];
  DWORD            Wcr[ARM64_MAX_WATCHPOINTS];
  DWORD64          Wvr[ARM64_MAX_WATCHPOINTS];
} ARM64_NT_CONTEXT, *PARM64_NT_CONTEXT;

 其中ContextFlags 其是标志位寄存器,DUMMYUNIONNAME是调试寄存器。以下提供一段添加异常处理的代码,仅供参考。

设置软件断点通过 int3 实现,对比第一种需要修改少量源码来实现hook的原始方式,这种Hook方式只需要修改一个字节的机器码,显然被检测的难度提升了。

设置硬件断点实现无痕Hook

断点寄存器

硬件断点和上面的不同,它是基于硬件的,不依赖调试程序,有自己的优势,如果通过CRC校验是不会被检测到的。如下是与硬件断点相关的寄存器结构:

  Dr0 ~ Dr3用于设置硬件断点,Dr4Dr5被保留了。由于只有4个断点寄存器,所以最多只能设置4个硬件调试断点。Dr7是最重要的寄存器,它比较复杂,我们来看看它的结构:

L0/G0 ~ L3/G3

  控制Dr0 ~ Dr3是否有效,局部还是全局。

例如 位0 L0和位1 G0:用于控制Dr0是全局断点还是局部断点,如果G0为1则是全局断点,如果L0为1则为局部断点。G0,L0 ~G3,L3分别用于控制Dr1~Dr3。

LEN0 ~ LEN3

  表示硬件断点的长度。如果是0表示1个字节;是1表示2个字节;是3表示4个字节。

R/W0 ~ R/W3

  指示断点类型。如果是0表示执行断点;是1表示写入断点;是3表示访问断点。

处理

  硬件调试断点产生的异常是STATUS_SINGLE_STEP,即单步异常。触发异常后,B0 ~ B3对应的位会被置1,以此可以区分单步步入产生的单步异常。

单步步入

  在调试中我们经常一条指令一条指令的进行调试,这大大方便了我们查阅结果,CPU提供了这样的基址,就是在Eflag中的TF位实现的,如下图所示:

线程劫持 

我们如果要设置硬件断点就要修改Dr0 ~ Dr3 和 Dr7 的数据,此时可以在设计自己的线程函数,然后对该函数使用第二种的Hook的方式,从而修改断点寄存器 Dr0 ~ Dr3 和 Dr7 的值,来控制Hook的触发.

由此可见,硬件断点的Hook过程是通过断点寄存器来完成Hook过程的,不会修改源程序的机器码,自然无视CRC32检测。

这篇关于完美绕开CRC32检测的无痕hook的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/550997

相关文章

电脑提示找不到openal32.dll文件怎么办? openal32.dll丢失完美修复方法

《电脑提示找不到openal32.dll文件怎么办?openal32.dll丢失完美修复方法》openal32.dll是一种重要的系统文件,当它丢失时,会给我们的电脑带来很大的困扰,很多人都曾经遇到... 在使用电脑过程中,我们常常会遇到一些.dll文件丢失的问题,而openal32.dll的丢失是其中比较

使用DrissionPage控制360浏览器的完美解决方案

《使用DrissionPage控制360浏览器的完美解决方案》在网页自动化领域,经常遇到需要保持登录状态、保留Cookie等场景,今天要分享的方案可以完美解决这个问题:使用DrissionPage直接... 目录完整代码引言为什么要使用已有用户数据?核心代码实现1. 导入必要模块2. 关键配置(重点!)3.

Python实现html转png的完美方案介绍

《Python实现html转png的完美方案介绍》这篇文章主要为大家详细介绍了如何使用Python实现html转png功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 1.增强稳定性与错误处理建议使用三层异常捕获结构:try: with sync_playwright(

Python如何实现PDF隐私信息检测

《Python如何实现PDF隐私信息检测》随着越来越多的个人信息以电子形式存储和传输,确保这些信息的安全至关重要,本文将介绍如何使用Python检测PDF文件中的隐私信息,需要的可以参考下... 目录项目背景技术栈代码解析功能说明运行结php果在当今,数据隐私保护变得尤为重要。随着越来越多的个人信息以电子形

SpringBoot使用Apache Tika检测敏感信息

《SpringBoot使用ApacheTika检测敏感信息》ApacheTika是一个功能强大的内容分析工具,它能够从多种文件格式中提取文本、元数据以及其他结构化信息,下面我们来看看如何使用Ap... 目录Tika 主要特性1. 多格式支持2. 自动文件类型检测3. 文本和元数据提取4. 支持 OCR(光学

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X

基于 YOLOv5 的积水检测系统:打造高效智能的智慧城市应用

在城市发展中,积水问题日益严重,特别是在大雨过后,积水往往会影响交通甚至威胁人们的安全。通过现代计算机视觉技术,我们能够智能化地检测和识别积水区域,减少潜在危险。本文将介绍如何使用 YOLOv5 和 PyQt5 搭建一个积水检测系统,结合深度学习和直观的图形界面,为用户提供高效的解决方案。 源码地址: PyQt5+YoloV5 实现积水检测系统 预览: 项目背景

JavaFX应用更新检测功能(在线自动更新方案)

JavaFX开发的桌面应用属于C端,一般来说需要版本检测和自动更新功能,这里记录一下一种版本检测和自动更新的方法。 1. 整体方案 JavaFX.应用版本检测、自动更新主要涉及一下步骤: 读取本地应用版本拉取远程版本并比较两个版本如果需要升级,那么拉取更新历史弹出升级控制窗口用户选择升级时,拉取升级包解压,重启应用用户选择忽略时,本地版本标志为忽略版本用户选择取消时,隐藏升级控制窗口 2.

[数据集][目标检测]血细胞检测数据集VOC+YOLO格式2757张4类别

数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):2757 标注数量(xml文件个数):2757 标注数量(txt文件个数):2757 标注类别数:4 标注类别名称:["Platelets","RBC","WBC","sickle cell"] 每个类别标注的框数: