Ring3 EAT Hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

Ring3 EAT Hook

发表于: 2010-4-17 12:15 8306

Ring3 EAT Hook

wjwmz

2010-4-17 12:15

8306

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

// (c) Code By Extreme
// Description:Ring3 Api hook engine(by EAT)
// Last update:2010-4-16
 
#include <stdio.h>
#include <conio.h>
#include <windows.h>
#include <tlhelp32.h>
 
HANDLE WINAPI MyOpenProcess( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId)
{
    MessageBox(NULL, "Call!", "wonderful!", 0);
}
 
DWORD GetDllBaseAddr(char *DllName)
{
    HANDLE hToolHelp;
    MODULEENTRY32 ModEntry;    
     
    hToolHelp = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, GetCurrentProcessId());
    if (hToolHelp == INVALID_HANDLE_VALUE)
    {
        return 0;
    }
     
    if (!Module32First(hToolHelp, &ModEntry))
    {
        return 0;
    }
     
    while (Module32Next(hToolHelp, &ModEntry))
    {
        if (!strcmp(ModEntry.szModule, DllName))
        {
            CloseHandle(hToolHelp);
            return (DWORD)ModEntry.modBaseAddr;
        }
         
    }
     
    return 0;
    CloseHandle(hToolHelp);
     
}
 
PVOID GetEAT(char *DllName, char *ExpName)
{
    PVOID Pointer;
    DWORD DllBaseAddr;
    PIMAGE_EXPORT_DIRECTORY ExpDir;
     
    PDWORD AddrOfNames;
    PDWORD AddrOfFuncs;
    PUSHORT AddrOfOrdinals;
     
    DWORD Cnt;
    DWORD Max;
    PDWORD AddrToWrite;
    DWORD dwTmp; 
    BYTE DataToWrite[4];
 
    DllBaseAddr = GetDllBaseAddr(DllName);
    if (DllBaseAddr == 0)
    {
        return 0;
    }
     
    // IMAGE_DOS_HEADER
    Pointer = (PVOID)DllBaseAddr;
    if (Pointer == 0)
    {
        return 0;
    }
     
    // IMAGE_NT_HEADERS
    Pointer = (PVOID)((DWORD)((PIMAGE_DOS_HEADER)Pointer)->e_lfanew + DllBaseAddr);
    if (Pointer == 0)
    {
        return 0;
    }
    // IMAGE_EXPORT_DIRECTORY
    ExpDir = (PIMAGE_EXPORT_DIRECTORY)((DWORD)(((PIMAGE_NT_HEADERS)(Pointer))->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress) + DllBaseAddr);
    AddrOfNames = (PDWORD)((DWORD)ExpDir->AddressOfNames + DllBaseAddr);
    AddrOfFuncs = (PDWORD)((DWORD)ExpDir->AddressOfFunctions + DllBaseAddr);
    AddrOfOrdinals = (PWORD)((DWORD)ExpDir->AddressOfNameOrdinals + DllBaseAddr);
     
    Max = ExpDir->NumberOfNames;
    for (Cnt = 0; Cnt < Max; ++Cnt)
    {
        if (!strcmp((PUCHAR)(AddrOfNames[Cnt] + DllBaseAddr), ExpName))
        {
            dwTmp = (DWORD)MyOpenProcess - DllBaseAddr;
            memcpy(DataToWrite, &dwTmp, sizeof(DWORD));
            AddrToWrite = &AddrOfFuncs[AddrOfOrdinals[Cnt]];
            if (!VirtualProtect(AddrToWrite, sizeof(DWORD), PAGE_EXECUTE_READWRITE, &dwTmp))
            {
                return 0;
            }
             
            WriteProcessMemory(GetCurrentProcess(), (PDWORD)AddrToWrite, DataToWrite, sizeof(DWORD), &dwTmp);
            if (dwTmp != sizeof(DWORD))
            {
                return 0;
            }
            return 0;
        }
    }
    return 0;
}
 
int main()
{
    PVOID Addr;
    Addr = GetEAT("kernel32.dll", "OpenProcess");
    Addr = (DWORD)OpenProcess;
    return 0;
}

Hook 后内存写入成功，但获得的地址不变。看了《Windows 核心编程》中关于IAT Hook 的章节，自己按原方法改为Hook EAT，但为什么不起作用？

[注意]看雪招聘，专注安全领域的专业人才平台！

#调试逆向

收藏・1

免费

支持

最新回复 (4)
skypismire 雪币： 75 活跃值： (883) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 3 关注私信	skypismire 1 2 楼 IAT的初始化是在程序加载时就已经完成了,Addr = (DWORD)OpenProcess中的OpenProcess在你的GetEAT("kernel32.dll", "OpenProcess")还未运行之前,就已经通过IAT映射到原kernel32.dll中的地址. 即使把kernel32.dll中相应的导出项改成自己的函数地址,在这里木已成舟,无所作为了. 2010-4-17 12:37 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 3 楼这里面的这个GetDllBaseAddr你写的的这个用LoadLIbraryA一下就实现了，而且兼容性还相当的不错你写了那么多太浪费金钱和时间了时间是用来享受生活的明天估计会出太阳有空跟我去钓鱼吧哈哈 2010-4-17 21:28 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 4 楼修改的是当前进程为什么不用指针操作呢 2010-4-17 21:32 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 5 楼 [QUOTE=wjwmz;792416] AddrToWrite = &AddrOfFuncs[AddrOfOrdinals[Cnt]]; [/QUOTE]这里忽略了函数转发，话说多了赶快跑到 2010-4-17 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wjwmz

发帖

回帖

RANK

关注

私信

他的文章

一个代码混淆器的思路 11024
关于LCCrypto中的重定位 3933
[原创][更新]Extreme HookEngine——Ring3 API Hook 静态库 19413
Ring3 EAT Hook 8307
[求助]Ring3 Inline Hook 堆栈问题 5626

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
skypismire 雪币： 75 活跃值： (883) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 3 关注私信	skypismire 1 2 楼 IAT的初始化是在程序加载时就已经完成了,Addr = (DWORD)OpenProcess中的OpenProcess在你的GetEAT("kernel32.dll", "OpenProcess")还未运行之前,就已经通过IAT映射到原kernel32.dll中的地址. 即使把kernel32.dll中相应的导出项改成自己的函数地址,在这里木已成舟,无所作为了. 2010-4-17 12:37 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 3 楼这里面的这个GetDllBaseAddr你写的的这个用LoadLIbraryA一下就实现了，而且兼容性还相当的不错你写了那么多太浪费金钱和时间了时间是用来享受生活的明天估计会出太阳有空跟我去钓鱼吧哈哈 2010-4-17 21:28 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 4 楼修改的是当前进程为什么不用指针操作呢 2010-4-17 21:32 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 5 楼 [QUOTE=wjwmz;792416] AddrToWrite = &AddrOfFuncs[AddrOfOrdinals[Cnt]]; [/QUOTE]这里忽略了函数转发，话说多了赶快跑到 2010-4-17 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Ring3 EAT Hook

账号登录 验证码登录

账号登录

验证码登录