2. 程式人生 > 實用技巧 >《逆向工程核心原理》——通過除錯方式hook Api

《逆向工程核心原理》——通過除錯方式hook Api

阿新 發佈:2020-08-11

1、附加目標程序,

2、CREATE_PROCESS_DEBUG_EVENT附加事件中將目標api處設定為0xcc(INT 3斷點)

3、EXCEPTION_DEBUG_EVENT異常事件中,首先判斷是否為EXCEPTION_BREAKPOINT 斷點異常,然後GetThreadContext、SetThreadContext 進行相關修改操作

#include <iostream>
#include "windows.h"
#include "stdio.h"

LPVOID g_pfWriteFile = NULL;
CREATE_PROCESS_DEBUG_INFO g_cpdi;
BYTE g_chINT3 
 
= 0xCC, g_chOrgByte = 0;

BOOL OnCreateProcessDebugEvent(LPDEBUG_EVENT pde) {
    g_pfWriteFile = GetProcAddress(GetModuleHandleA("kernel32.dll"), "WriteFile");//或取WriteFile的API地址(其實獲取的是除錯者的地址,但是沒有影響)
    printf("g_pfWriteFile(0x%08X)\n ", g_pfWriteFile);//g_pfWriteFile(1990541344)   76a54020
    memcpy(&g_cpdi, &pde->u.CreateProcessInfo, sizeof
 
(CREATE_PROCESS_DEBUG_INFO));
    ReadProcessMemory(g_cpdi.hProcess, g_pfWriteFile,
        &g_chOrgByte, sizeof(BYTE), NULL);//g_cpdi.hProcess是被除錯程序的控制代碼,g_pfWriteFile是WriteFile API的地址 ,此函式讀取api第一個位元組,儲存到g_chOrgByte中
    WriteProcessMemory(g_cpdi.hProcess, g_pfWriteFile,
        &g_chINT3, sizeof
 
(BYTE), NULL);   //以上兩個函式對除錯程序進行讀寫,

    return TRUE;
}

BOOL OnExceptionDebugEvent(LPDEBUG_EVENT pde) {
    CONTEXT ctx;
    PBYTE lpBuffer = NULL;
    DWORD64 dwNumOfBytesToWrite, dwAddrOfBuffer;//x64指標8位元組
    DWORD i;
    PEXCEPTION_RECORD per = &pde->u.Exception.ExceptionRecord;

    if (EXCEPTION_BREAKPOINT == per->ExceptionCode) { //是斷點異常時
        if (g_pfWriteFile == per->ExceptionAddress) {   //斷點地址為writefile 的api地址時候
            WriteProcessMemory(g_cpdi.hProcess, g_pfWriteFile, &g_chOrgByte, sizeof(BYTE), NULL);//恢復api第一個位元組(unhook)

            //ctx.ContextFlags = CONTEXT_CONTROL; //或取執行緒上下文
            ctx.ContextFlags = CONTEXT_ALL; //獲取執行緒上下文,CONTEXT_CONTROL缺少一些暫存器的值,這裡使用CONTEXT_ALL
            GetThreadContext(g_cpdi.hThread, &ctx);
            //printf("0x%08X\n", GetLastError());
            //x64下系統api使用fastcall呼叫約定
            //ReadProcessMemory(g_cpdi.hProcess, (LPVOID)(ctx.Esp + 0x8),
            //    &dwAddrOfBuffer, sizeof(DWORD), NULL);//獲取api的第二個引數值
            //ReadProcessMemory(g_cpdi.hProcess, (LPVOID)(ctx.Esp + 0xC),
            //    &dwNumOfBytesToWrite, sizeof(DWORD), NULL);//獲取取api的第三個引數值
            dwAddrOfBuffer = ctx.Rdx;//WriteFile第2個引數 緩衝區:lpBuffer
            dwNumOfBytesToWrite = ctx.R8;//WriteFile第3個引數 緩衝區大小:nNumberOfBytesToWrite
            lpBuffer = (PBYTE)malloc(dwNumOfBytesToWrite + 1);//分配臨時緩衝區
            memset(lpBuffer, 0, dwNumOfBytesToWrite + 1);

            ReadProcessMemory(g_cpdi.hProcess, (LPVOID)dwAddrOfBuffer,
                lpBuffer, dwNumOfBytesToWrite, NULL);//將第三個引數值複製到臨時緩衝區
            printf("\n### original string ###\n%s\n", lpBuffer);

            for (i = 0; i < dwNumOfBytesToWrite; i++) {         //將小寫字母轉換為大寫字母
                if (0x61 <= lpBuffer[i] && lpBuffer[i] <= 0x7A)
                    lpBuffer[i] -= 0x20;
            }

            printf("\n### converted string ###\n%s\n", lpBuffer);

            WriteProcessMemory(g_cpdi.hProcess, (LPVOID)dwAddrOfBuffer,
                lpBuffer, dwNumOfBytesToWrite, NULL);//將變換後的緩衝區複製到writefile緩衝區

            free(lpBuffer);//釋放臨時緩衝區

            //將執行緒上下文的EIP更改為writefile首地址(當前為writefile()+1位置,int3命令之後)
            ctx.Rip = (DWORD64)g_pfWriteFile;//x64指標8位元組
            SetThreadContext(g_cpdi.hThread, &ctx);

            // 執行被除錯程序
            ContinueDebugEvent(pde->dwProcessId, pde->dwThreadId, DBG_CONTINUE);//執行被除錯程序
            Sleep(0);

            WriteProcessMemory(g_cpdi.hProcess, g_pfWriteFile,
                &g_chINT3, sizeof(BYTE), NULL);

            return TRUE;
        }
    }

    return FALSE;
}

void DebugLoop() {
    DEBUG_EVENT de;
    DWORD dwContinueStatus;
    while (WaitForDebugEvent(&de, INFINITE))//while迴圈等待被除錯者發生事件,並根據不同的事件型別做出不同的反映
    {
        dwContinueStatus = DBG_CONTINUE;
        if (CREATE_PROCESS_DEBUG_EVENT == de.dwDebugEventCode)// 被除錯程序生成事件或者附加事件
        {
            OnCreateProcessDebugEvent(&de);
        }
        else if (EXCEPTION_DEBUG_EVENT == de.dwDebugEventCode)// 異常事件
        {
            if (OnExceptionDebugEvent(&de))
                continue;
        }
        else if (EXIT_PROCESS_DEBUG_EVENT == de.dwDebugEventCode)// 被除錯程序終止事件
        {
            break;//偵錯程式終止
        }
        ContinueDebugEvent(de.dwProcessId, de.dwThreadId, dwContinueStatus);// 再次執行被除錯者
    }
}

int main(int argc, char* argv[]) {
    DWORD dwPID;
    //if (argc != 2)         //驗證引數
    //{
    //    printf("\nUSAGE : hookdbg.exe <pid>\n");
    //    return 1;
    //}
    printf("input pid\n");
    scanf("%d", &dwPID);
    //dwPID = atoi(argv[1]);      //pid
    if (!DebugActiveProcess(dwPID))        //將偵錯程式(本執行檔案)附加到執行的程序上,開始除錯
    {
        printf("DebugActiveProcess(%d) failed!!!\n"
            "Error Code = %d\n", dwPID, GetLastError());
        return 1;
    }
    DebugLoop();// 除錯迴圈,處理來自被除錯者的除錯事件
    return 0;
}

x64下要注意api的呼叫約定以及指標大小為8位元組;

相關推薦

逆向工程核心原理》——通過除錯方式hook Api

1、附加目標程序, 2、CREATE_PROCESS_DEBUG_EVENT附加事件中將目標api處設定為0xcc(INT 3斷點)

逆向工程核心原理》——API HOOK

編寫dll處理hook邏輯,注入到目標程序,實現api hook。 Windows10 notepad,通過hookkernel32.dll.WriteFile,實現小寫字母轉大寫儲存到檔案。

逆向工程核心原理——第十章

函式呼叫約定 函式呼叫約定,就是函式呼叫時如何傳遞引數的一種約定。 *棧的大小記錄在pe頭中。

逆向工程核心原理——第十四章

執行時壓縮 壓縮還分為無失真壓縮和有失真壓縮: 無失真壓縮:使用壓縮過的檔案之前需要解壓,解壓之後可以百分之百恢復檔案內容。

逆向工程核心原理》Windows訊息鉤取

DLL注入——使用SetWindowsHookEx函式實現訊息鉤取 MSDN: SetWindowsHookEx Function

逆向工程核心原理》——DLL注入與解除安裝

利用CreateRemoteThread #include <iostream> #include <tchar.h> #include <Windows.h> #include <tlhelp32.h>

逆向工程核心原理》——IAThook

hook邏輯寫入dll中,注入dll。 #include \"pch.h\" #include <tchar.h> #include \"windows.h\"

逆向工程核心原理》——TLS回撥函式

pe中TLS(thread local storage)中函式的執行時機早於入口函式(entry point), 相關結構:

逆向工程核心原理——第三十二章

計算器顯示中文數字 此實驗中使用的程式碼只適用於x86系統。 本章講解API鉤取技術時將以Windows計算器( calc.exe)為示例,向計算器程序插人使用者的

逆向工程核心原理:PE映像切換 原始碼

示例程式碼下載地址:https://pan.baidu.com/s/1cb1qg9YVgzwQ2X9umSU7qw密碼:pnmq Debugme3.cpp

逆向工程核心原理之第23章之dll下載網頁

用devc++編譯dll下載網頁程式碼 方法1 用Windows本身的dll:在工具->編譯選項->編譯器->在聯結器命令列加入以下命令去掉 -static-libgcc新增如下 -lole32 -loleaut32-lurlmon -lwininet

開發工具:Mybatis.Plus.外掛三種方式逆向工程

本文原始碼:GitHub·點這裡 ||GitEE·點這裡 一、逆向工程簡介 在Java開發中,持久層最常用的框架就是mybatis,該框架需要編寫sql語句,mybatis官方提供逆向工程,可以把資料表自動生成執行所需要的基礎程式碼,例如

Mybatis Plus外掛三種方式逆向工程的使用

本文原始碼:GitHub·點這裡 || GitEE·點這裡 一、逆向工程簡介 在Java開發中,持久層最常用的框架就是mybatis,該框架需要編寫sql語句,mybatis官方提供逆向工程,可以把資料表自動生成執行所需要的基礎程式碼,例

逆向工程除錯Hello World !程式(更新中)

逆向工程除錯Hello,World ! 程式(更新中) 逆向分析法靜態分析法動態分析法

iOS逆向 - 應用簽名原理及重簽名 (重籤微信應用實戰)

前言: 玩逆向的目的 ? 為了應用安全,我們首先要知道 Hackers 都是怎麼做的,他們如何做到可以除錯我們的應用 . 在此基礎上我們才能知道如何更有效的進行防護.

golang核心原理-協程棧

什麼是協程棧 每個協程都需要有自己的棧空間,來存放變數,函式,暫存器等資訊。所以系統需要給協程分配足夠的棧空間。

SpringBoot啟動機制(starter機制)核心原理詳解

作者:MyBug 一、前言 使用過springboot的同學應該已經知道,springboot通過預設配置了很多框架的使用方式幫我們大大簡化了專案初始搭建以及開發過程。

ibatis 核心原理解析

最近查詢一個生產問題的原因,需要深入研究 ibatis 框架的原始碼。雖然最後證明問題的原因與 ibatis 無關,但是這個過程加深了對 ibatis 框架原理的理解。

詳解SpringBoot工程的三種搭建方式

SpringBoot的主要目的是簡化配置檔案,通過少量配置即可執行Java程式,其強大的自動配置功能幫助開發者輕鬆實現配置裝配,通過引入SpringBoot的 starter 就能實現想要的功能,不需要額外的配置。

Python通過Manager方式實現多個無關聯程序共享資料的實現

Python實現多程序間通訊的方式有很多種,例如佇列,管道等。 但是這些方式只適用於多個程序都是源於同一個父程序的情況。