[原创]发一个Ring3 Global Inline Hook库（开源）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]发一个Ring3 Global Inline Hook库（开源）

发表于: 2011-1-13 15:49 30640

[原创]发一个Ring3 Global Inline Hook库（开源）

blueapplez 活跃值

2011-1-13 15:49

30640

刚写完了一个全局的inline hook 库，易用性感觉还不是很好。但是"全局"2字是亮点。
先说一下全局的思路。
首先遍历当前所有的进程。当然我们想到的大多数方法是用一些枚举进程的api来做，我想到了另一种方法。暴力穷举，这样可以把隐藏进程也给揪出来。
//暴力穷举进程（进程ID都是4的整数倍,而且小于0x0000ffff）

    HANDLE hProcess = 0;
    for (DWORD dwProcessID = 0; dwProcessID<=0x0000FFFF; dwProcessID+=4)
    {
      hProcess =::OpenProcess(
        PROCESS_QUERY_INFORMATION |  // Required by Alpha
        PROCESS_CREATE_THREAD     |    // For CreateRemoteThread
        PROCESS_VM_OPERATION      |    // For VirtualAllocEx/VirtualFreeEx
        PROCESS_VM_WRITE      |    // For WriteProcessMemory
        PROCESS_VM_READ ,        //  For CreateRemoteThread
        FALSE, dwProcessID);
      if (hProcess == 0)
      {
        continue;
      }
      //有进程句柄了。。远程线程注入啥的。。。
       }

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

Ring3 Global Inline Hook.rar （128.41kb，502次下载）

收藏・54

免费・7

支持

最新回复 (24)
刘觐肇雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 149 粉丝 0 关注私信	刘觐肇 2 楼居然是沙发 2011-1-13 16:06 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼果然是板凳. 2011-1-13 17:13 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 4 楼不错,支持个 2011-1-13 22:08 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 5 楼这个不错 2011-1-14 08:47 0
lyricC 雪币： 38 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	lyricC 6 楼此贴可以火， 2011-1-14 09:20 0
jacksona 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	jacksona 7 楼不错，加油。 2011-1-15 00:11 0
kanven 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	kanven 8 楼谢谢大侠了，学习一下！ 2011-1-15 10:48 0
Tee8088 雪币： 510 活跃值： (438) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 410 粉丝 28 关注私信	Tee8088 2 9 楼老外有个开源的库，，TitianTitanEngine，，有全部源VC++源码，功能强大。 2011-1-15 15:39 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 10 楼微软的Detours也很不错。 2011-1-15 16:50 0
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 11 楼好文仔细学习了一下…… 有一点不明白：在HookOneApi中为什么要用GetOpcodeSize呢？直接读取前五个字节不就ok了？ GetOpcodeSize里面写的是神马？看不懂 2011-1-20 14:53 0
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 12 楼不好意思刚开始没读完现在知道为什么了 2011-1-20 15:31 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 13 楼我喜欢mhook 支持64位 2011-1-24 20:58 0
lovesuae 雪币： 386 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 153 粉丝 3 关注私信	lovesuae 1 14 楼第六个字节的opcode如果本来与第五个opcode是一起的,那么指令就破坏了 2011-1-29 11:21 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 15 楼 Thanks for share 2011-1-31 17:19 0
爱在他乡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	爱在他乡 16 楼不错，学习了 2011-1-31 17:31 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 17 楼学习了 ........................... 2011-2-1 13:18 0
大地刑者雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	大地刑者 18 楼看了个半懂，学习了谢谢。。。 2011-4-1 09:04 0
sunnywwc 雪币： 68 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	sunnywwc 19 楼不错要是支持64位就好了 2011-4-2 10:43 0
kagayaki 雪币： 1369 活跃值： (5190) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 20 楼学习了 ........................... 2012-3-27 03:08 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 21 楼感谢共享 2012-3-27 09:01 0
MagicFuzzX 雪币： 12 活跃值： (773) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 22 楼希望有注释~~ 2012-3-27 13:39 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 23 楼学习学习学习 2012-3-27 14:20 0
天法道雪币： 506 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 24 楼 thanks for share. 2012-3-27 15:31 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 25 楼谢了，留个脚印 2012-4-21 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

blueapplez

发帖

1047

回帖

610

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
刘觐肇雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 149 粉丝 0 关注私信	刘觐肇 2 楼居然是沙发 2011-1-13 16:06 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼果然是板凳. 2011-1-13 17:13 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 4 楼不错,支持个 2011-1-13 22:08 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 5 楼这个不错 2011-1-14 08:47 0
lyricC 雪币： 38 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	lyricC 6 楼此贴可以火， 2011-1-14 09:20 0
jacksona 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	jacksona 7 楼不错，加油。 2011-1-15 00:11 0
kanven 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	kanven 8 楼谢谢大侠了，学习一下！ 2011-1-15 10:48 0
Tee8088 雪币： 510 活跃值： (438) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 410 粉丝 28 关注私信	Tee8088 2 9 楼老外有个开源的库，，TitianTitanEngine，，有全部源VC++源码，功能强大。 2011-1-15 15:39 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 10 楼微软的Detours也很不错。 2011-1-15 16:50 0
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 11 楼好文仔细学习了一下…… 有一点不明白：在HookOneApi中为什么要用GetOpcodeSize呢？直接读取前五个字节不就ok了？ GetOpcodeSize里面写的是神马？看不懂 2011-1-20 14:53 0
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 12 楼不好意思刚开始没读完现在知道为什么了 2011-1-20 15:31 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 13 楼我喜欢mhook 支持64位 2011-1-24 20:58 0
lovesuae 雪币： 386 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 153 粉丝 3 关注私信	lovesuae 1 14 楼第六个字节的opcode如果本来与第五个opcode是一起的,那么指令就破坏了 2011-1-29 11:21 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 15 楼 Thanks for share 2011-1-31 17:19 0
爱在他乡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	爱在他乡 16 楼不错，学习了 2011-1-31 17:31 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 17 楼学习了 ........................... 2011-2-1 13:18 0
大地刑者雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	大地刑者 18 楼看了个半懂，学习了谢谢。。。 2011-4-1 09:04 0
sunnywwc 雪币： 68 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	sunnywwc 19 楼不错要是支持64位就好了 2011-4-2 10:43 0
kagayaki 雪币： 1369 活跃值： (5190) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 20 楼学习了 ........................... 2012-3-27 03:08 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 21 楼感谢共享 2012-3-27 09:01 0
MagicFuzzX 雪币： 12 活跃值： (773) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 22 楼希望有注释~~ 2012-3-27 13:39 0
hittimes 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	hittimes 23 楼学习学习学习 2012-3-27 14:20 0
天法道雪币： 506 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 24 楼 thanks for share. 2012-3-27 15:31 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 25 楼谢了，留个脚印 2012-4-21 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复