首页
论坛
课程
招聘
[原创]绕过函数头INLINE HOOK
2009-9-6 22:00 8656

[原创]绕过函数头INLINE HOOK

2009-9-6 22:00
8656
一直潜水 看大牛们的帖子 受益很多  
最近比较闲 也来发几篇撮文       高手就请路过吧。

    绕函数头INLINE HOOK  方法比较简单 玩过INLINE HOOK的人应该都知道  
没有处理重定位  不过绕函数头的几个字节应该没什么问题
代码很烂 就不贴出来了      需要的朋友自己下载吧

附件是 VS2008 +DDKWizard 的 请自行编译  XP SP2下测试通过

2021 KCTF 秋季赛 防守篇-征题倒计时(11月14日截止)!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (9)
雪    币: 284
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jerrynpc 活跃值 2009-9-7 00:00
2
0
做个大沙发,然后学习,膜拜。
雪    币: 70
活跃值: 活跃值 (15)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
这真不行 活跃值 2009-9-7 07:39
3
0
顶一个大个的
同时弱弱的问一下
inline hook是不是只在驱动级才这么叫?
雪    币: 483
活跃值: 活跃值 (189)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
坚持到底 活跃值 7 2009-9-7 09:03
4
0
inline hook r3也有
雪    币: 88
活跃值: 活跃值 (151)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
frozenrain 活跃值 2009-9-7 09:09
5
0
读的原始文件?
雪    币: 213
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
绿豆青蛙 活跃值 2009-9-7 14:56
6
0
进来看看,要是在帖子里有个说明原理的就好了
雪    币: 514
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xacker 活跃值 1 2009-9-7 15:25
7
0
看这张图  就知道了


第一个U  是正常函数的

第二个U 是打开冰刃后的

第三个U 是驱动里那个20字节  用来替代NtTerminateProcess函数的

首先 定位函数地址 转换为文件偏移  然后从原始文件读取相应的长度
最后加上一个跳转指令跳回去  就绕过了函数头inline hook

刚裁图发现代码里有个小错误      NOP 应该是0x90  。。
上传的附件:
雪    币: 247
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
evilcode 活跃值 2009-9-7 15:48
8
0
这东西是不是结合PCODE分析就比较稳定点?
雪    币: 251
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
leftup 活跃值 2009-9-7 16:08
9
0
看这张图,貌似这个函数有为hotpatch预留的空间
开始是 mov edi,edi,用来patch成短跳转 上面还应该有5个nop,用来patch成长跳转
雪    币: 133
活跃值: 活跃值 (17)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
kalrey 活跃值 1 2009-9-8 06:51
10
0
终于看到兄弟的大作了,力挺
游客
登录 | 注册 方可回帖
返回