[求助]在程序刚启动时Hook ReadFile函数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]在程序刚启动时Hook ReadFile函数

发表于: 2010-4-18 20:13 12791

[求助]在程序刚启动时Hook ReadFile函数

xuweilin

2010-4-18 20:13

12791

想写个加密狗监控程序练手，碰到了难题，特上来求助。
如下的程序结构: --> 可理解为调用。

A.exe --> B.ocx --> C.dll --> D.dll --> ReadFile(读狗)，
当B刚初始化的时候(此时A的界面都没出现), ReadFile会被执行，
目前我只能做到在A完全起动后再去Hook ReadFile函数（修改IAT），但这时已经晚了，
有没有大侠给点思路？

[课程]Android-CTF解题方法汇总！

收藏・3

免费・0

支持

最新回复 (18)
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 2 楼您说的方法正是现在外面流行的抢注方法，代码未展开前就先注入了除了多次自校验以外没有很好的方法若是你是做大型游戏的奉劝表多想了我没见过有大游戏对自己程序内部进行主动对抗的。原因是太占本身资源了您只能针对您程序某个极关重要的CALL进行判断。。以防他的注入后的调用 2010-4-18 20:28 0
xuweilin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xuweilin 3 楼楼上的可能误会了，我要的就是这种“抢注方法”，而不是防止抢注因为要监控程序与加密狗之间的通信嘛 2010-4-18 20:42 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 4 楼晕死要方法？？？不告诉你- -。。一看就是用来干坏事滴 2010-4-18 20:45 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 5 楼其实论坛有个文章他已经写到你要的东西了自己耐心找找吧 2010-4-18 21:03 0
xuweilin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xuweilin 6 楼风林是个热心人啊，我搜了半天也没找到才发贴的。我这不是干坏事的哈，网上这类程序大把下的，自己写的目的纯粹是为练手，了解下其实现原理。 2010-4-18 21:19 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 7 楼好象是关于什么调试器什么的。。忘记哪篇了抢注的确不错 2010-4-18 21:32 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 8 楼 1改A.exe的TLS？ 2在A进程被加载时，MS有个XX函数吧，就是如果查一下RING3调试器的编写，应该知道整个过程，那么可以改这个做点手脚吧纯粹灌水，瞎说一通。。 2010-4-19 12:19 0
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 9 楼好邪恶~~ 全局钩子只能在界面出现后才能注入，因为都是基于消息的，如果要更早，就自己去启动进程并挂起它，下面的动作就随便你了 2010-4-19 13:55 0
小错同学雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	小错同学 10 楼因为都是基于消息的，如果要更早，就自己去启动进程并挂起它，下面的动作就随便你了 2010-4-19 14:01 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 11 楼 lpk.dllllll 2010-4-19 16:48 0
xuweilin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xuweilin 12 楼我现在就是自己去启动进程并挂起它的，可惜挂起的又太早了，发现DLL文件都没有加载完哦，所以就没法HOOK了。应该在DLL都加载完毕后才挂起，HOOK后再继续运行。我想思路是对的，具体怎么弄还是不会。 2010-4-19 20:34 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 13 楼倒，inline-hook不就行了吗 2010-4-19 21:43 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 14 楼蛋疼的不行 Simplest way: Create process as suspended -> Overwrite ProcessStartStub、ModuleOEP/TLS or anywhere else, with a loader stub -> Resume the main thread. -> Your loader stub is executed. Do any thing as your wish here. -> Execute the original code and process started. DT ways 1、LoadImageNotify. When the notify of the main module trigered(right after CreateProcesNotify), the ntdll and main module is already mapped, you can hook the main module here. This is almost the earlest inject point. 2、CreateProcessNotify This notify is trigered by the first thread of the process. In fact, when you got this, the process is just “Started” yet. The EPROCESS is allocated, but partial initialized. The PEB is allocated, but almost empty. *Ntdll is mapped, but not regiester to ldr list. The main module is not loaded yet. But you can still inject your code, if you know how. 3)CreateThreadNotify Maybe this is the earlest and "graceful" way to got known a process "will" start. In fact, this notify is called by the thread which calling CreateProcess, and even the first instruction of the created process is not got executed yet. You can hook here, if you are the most DT man 2010-4-20 03:30 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 15 楼楼上高人啊，留下记号。不过，还想问一下，还有没有更早的inject点可以修改某个段的属性，比如，让某个数据段成为共享的(share)，让所有的实例都共享那个数据段。当然，exe文件中那个数据段肯定是没有共享属性的。按我的想法，这个功能可能要在ring0下才能实现吧。应该是修改loader，而不是进程本身。 2010-4-20 10:46 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 16 楼在PE结构里改块属性试试。 2010-4-20 11:18 0
amwmqj 雪币： 44 活跃值： (24) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 69 粉丝 0 关注私信	amwmqj 1 17 楼劫持其中一个DLL或劫持系统DLL。 2010-4-21 00:12 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 18 楼多谢，不过我是想能在load的过程中修改，这样，就可以避过对文件的效验。 2010-5-1 18:29 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 19 楼去研究一下hideod 很快就就会明白了 2010-5-1 19:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xuweilin

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 2 楼您说的方法正是现在外面流行的抢注方法，代码未展开前就先注入了除了多次自校验以外没有很好的方法若是你是做大型游戏的奉劝表多想了我没见过有大游戏对自己程序内部进行主动对抗的。原因是太占本身资源了您只能针对您程序某个极关重要的CALL进行判断。。以防他的注入后的调用 2010-4-18 20:28 0
xuweilin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xuweilin 3 楼楼上的可能误会了，我要的就是这种“抢注方法”，而不是防止抢注因为要监控程序与加密狗之间的通信嘛 2010-4-18 20:42 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 4 楼晕死要方法？？？不告诉你- -。。一看就是用来干坏事滴 2010-4-18 20:45 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 5 楼其实论坛有个文章他已经写到你要的东西了自己耐心找找吧 2010-4-18 21:03 0
xuweilin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xuweilin 6 楼风林是个热心人啊，我搜了半天也没找到才发贴的。我这不是干坏事的哈，网上这类程序大把下的，自己写的目的纯粹是为练手，了解下其实现原理。 2010-4-18 21:19 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 7 楼好象是关于什么调试器什么的。。忘记哪篇了抢注的确不错 2010-4-18 21:32 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 8 楼 1改A.exe的TLS？ 2在A进程被加载时，MS有个XX函数吧，就是如果查一下RING3调试器的编写，应该知道整个过程，那么可以改这个做点手脚吧纯粹灌水，瞎说一通。。 2010-4-19 12:19 0
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 9 楼好邪恶~~ 全局钩子只能在界面出现后才能注入，因为都是基于消息的，如果要更早，就自己去启动进程并挂起它，下面的动作就随便你了 2010-4-19 13:55 0
小错同学雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	小错同学 10 楼因为都是基于消息的，如果要更早，就自己去启动进程并挂起它，下面的动作就随便你了 2010-4-19 14:01 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 11 楼 lpk.dllllll 2010-4-19 16:48 0
xuweilin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xuweilin 12 楼我现在就是自己去启动进程并挂起它的，可惜挂起的又太早了，发现DLL文件都没有加载完哦，所以就没法HOOK了。应该在DLL都加载完毕后才挂起，HOOK后再继续运行。我想思路是对的，具体怎么弄还是不会。 2010-4-19 20:34 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 13 楼倒，inline-hook不就行了吗 2010-4-19 21:43 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 14 楼蛋疼的不行 Simplest way: Create process as suspended -> Overwrite ProcessStartStub、ModuleOEP/TLS or anywhere else, with a loader stub -> Resume the main thread. -> Your loader stub is executed. Do any thing as your wish here. -> Execute the original code and process started. DT ways 1、LoadImageNotify. When the notify of the main module trigered(right after CreateProcesNotify), the ntdll and main module is already mapped, you can hook the main module here. This is almost the earlest inject point. 2、CreateProcessNotify This notify is trigered by the first thread of the process. In fact, when you got this, the process is just “Started” yet. The EPROCESS is allocated, but partial initialized. The PEB is allocated, but almost empty. *Ntdll is mapped, but not regiester to ldr list. The main module is not loaded yet. But you can still inject your code, if you know how. 3)CreateThreadNotify Maybe this is the earlest and "graceful" way to got known a process "will" start. In fact, this notify is called by the thread which calling CreateProcess, and even the first instruction of the created process is not got executed yet. You can hook here, if you are the most DT man 2010-4-20 03:30 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 15 楼楼上高人啊，留下记号。不过，还想问一下，还有没有更早的inject点可以修改某个段的属性，比如，让某个数据段成为共享的(share)，让所有的实例都共享那个数据段。当然，exe文件中那个数据段肯定是没有共享属性的。按我的想法，这个功能可能要在ring0下才能实现吧。应该是修改loader，而不是进程本身。 2010-4-20 10:46 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 16 楼在PE结构里改块属性试试。 2010-4-20 11:18 0
amwmqj 雪币： 44 活跃值： (24) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 69 粉丝 0 关注私信	amwmqj 1 17 楼劫持其中一个DLL或劫持系统DLL。 2010-4-21 00:12 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 18 楼多谢，不过我是想能在load的过程中修改，这样，就可以避过对文件的效验。 2010-5-1 18:29 0
wwtwx 雪币： 35 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 344 粉丝 0 关注私信	wwtwx 19 楼去研究一下hideod 很快就就会明白了 2010-5-1 19:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复