[原创]Ring3下Inline Hook MessageBox(演示)-编程技术-看雪-安全社区|安全招聘|kanxue.com

10

7

[原创]Ring3下Inline Hook MessageBox(演示)

发表于: 2008-7-30 20:45 13479

[原创]Ring3下Inline Hook MessageBox(演示)

sding

活跃值

2008-7-30 20:45

13479

这是学习Ring3 下Inline Hook 的代码，写的很菜，部分代码参考了邪8中“我非我”的代码，在此表示感谢。
原文中有二处错误，后面好多人都说运行不成功，不知道原作者是怎样编译成功的，原代码参见ring3 inline hook demo
由于在邪8中等级太低，不能发贴，借用宝地说明下

提前声明下，我调试的VC++为6.0的，
在VC++编译器生成EXE中，函数也像API一样进行了中间跳转
如下
0040100F $ /E9 CC020000 jmp    MyFunc
00401014 $ |E9 37000000 jmp    main
00401019 $ |E9 B2000000 jmp    Hook

在40100F中，原文中的意思是此处即为MyFunc的入口地址，但此处只为一中转跳转，要计算真正函数的入口地址，还要再次进行重定位。另外一处，原文开头为替换为5个字节，在这里正好将一条完整的指令拆开了，这是在调试过程中发现的，正确的在原文中应替换6个字节，这就不详说了，有不对的地方，希望指正

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・10

免费・7

支持

分享

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-1-3 05:51

伟叔叔

为你点赞~

2023-11-9 04:14

QinBeast

为你点赞~

2023-8-19 00:44

PLEBFE

为你点赞~

2023-8-17 00:25

shinratensei

为你点赞~

2023-7-24 02:41

心游尘世外

为你点赞~

2023-7-15 00:27

飘零丶

为你点赞~

2023-7-4 00:44

查看更多

最新回复 (12)
靴子雪币： 22 活跃值： (513) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 528 粉丝 1 关注私信	靴子 2 楼沙发强帖留名！！ 2008-7-30 21:15 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 3 楼似乎这样的代码网上有一大堆``` 2008-7-31 09:45 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 4 楼一时看成ring0下inline hook messagebox 2008-7-31 10:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 5 楼如果ring0下hook的话，我是这么想的，设置LoadImageNofity，然后检测到模块载入后就检查其输入表是否有user32.dll，若有再判断是否有MessageBox，若有就hook之．最多也就是一个在进程空间中，一个在内核空间，读写和修改方式不太一样而已吧，不过应该也差不多．　不知说得对不对？还没实践～ 2008-7-31 13:21 0
combojiang 雪币： 321 活跃值： (276) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 6 楼 detour. 2008-7-31 14:55 0
neverqq 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	neverqq 7 楼这样代码网上很多的 2008-8-1 08:33 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 8 楼网上也找过,但没有这么清楚的啊,新手想找的只是一个简单的DEMO,而网上的那些可长了,都看不清哪是哪的,注释也很简想想和我一样水平的人,呵呵,就贴出来了 2008-8-1 08:39 0
sudami 雪币： 709 活跃值： (2455) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 67 关注私信	sudami 25 9 楼嗯,谢谢分享你的学习成果~ 有交流才有进步嘛 2008-8-1 08:46 0
caseshadow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	caseshadow 10 楼 __declspec(naked) int jmp_back() { __asm { _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 } } 我用CB编译的时候提示我 _emit 0x90语法错误，各位大侠怎么回事？ 2008-8-11 12:17 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 11 楼 CB? 没研究过，可能在内联汇编时有不同吧 VC下通过 2008-8-15 10:50 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 12 楼内联的和修改IAT的两种方法的差异是不是效率呢？ 2008-8-15 10:59 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 13 楼在RING3下全局HOOK的话,还是IAT吧,方便 INLINE也有一种方法是直接可以写入物理空间,一次性修改,全局通用 2008-8-17 18:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

sding

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区