极安御信网络安全系列课程-Windows系统编程-InlineHook下【逆向安全/漏洞安全/2022最新课程/CTF】 16:27 极安御信网络安全系列课程-汇编语言基础-x64汇编与内联汇编上【逆向安全/漏洞安全/2022最新课程/CTF】 15:08 极安御信--02.Windows网络编程基础(上)【逆向安全/漏洞安全/2023最新课程/CTF】 21:16 极安御...
另外,微信的版本我选择最新的x86版本(32位),这个写到那一篇的时候再下载最新的版本。因为使用C++写inline hook的话,我不会写64位的,而开源的一些hook框架都只能hook函数,还需要定义函数指针,这给使用Python进行动态hook增加了很大的阻碍,我不知道怎么在Python里定义动态函数指针并传给C++。x64调用约定没有x86那么混乱...
基于Detour封装的Hook框架,省去了我们处理call old function的麻烦 在进行inline hook的时候,要特别注意多核CPU在hook replace过程中的影响,因为多个线程有可能"同时"调用同一个函数地址,为了解决这个问题,一个好的做法是在inline hook的过程中,把当前进程的所有线程都挂起。通过CreateToolhelp32Snapshot和SuspendThread的...
另外,微信的版本我选择最新的x86版本(32位),这个写到那一篇的时候再下载最新的版本。因为使用C写inline hook的话,我不会写64位的,而开源的一些hook框架都只能hook函数,还需要定义函数指针,这给使用Python进行动态hook增加了很大的阻碍,我不知道怎么在Python里定义动态函数指针并传给C。x64调用约定没有x86那么混乱,...
Rootkit Hook检测,SSDT、IAT和IDT都有一组用于每个服务或中断的函数指针,它们都在内存中的特定范围内。当rootkit修改Hook指向恶意服务或中断例程时,函数指针所指向的位置几乎总是位于特定内存地址范围之外。在这期间还发展了Inline Hook形式,来规避这些关键表的检测,后来发展了FSD Hook、FSD Inline Hook。
Rootkit Hook检测,SSDT、IAT和IDT都有一组用于每个服务或中断的函数指针,它们都在内存中的特定范围内。当rootkit修改Hook指向恶意服务或中断例程时,函数指针所指向的位置几乎总是位于特定内存地址范围之外。在这期间还发展了Inline Hook形式,来规避这些关键表的检测,后来发展了FSD Hook、FSD Inline Hook。 交叉视图分析...
极安御信--07.Windows系统编程-InlineHook(上)【逆向安全/漏洞安全/2023最新课程/CTF】 17:35 极安御信--07.Windows系统编程-InlineHook(下)【逆向安全/漏洞安全/2023最新课程/CTF】 16:18 Windows系统编程-消息机制基础(上)【逆向安全/漏洞安全/2023最新课程/CTF】 17:47 Windows系统编程-消息机制基础(下)【...
Rootkit Hook检测,SSDT、IAT和IDT都有一组用于每个服务或中断的函数指针,它们都在内存中的特定范围内。当rootkit修改Hook指向恶意服务或中断例程时,函数指针所指向的位置几乎总是位于特定内存地址范围之外。在这期间还发展了Inline Hook形式,来规避这些关键表的检测,后来发展了FSD Hook、FSD Inline Hook。
首先跟进Hook.hpp,调用setup函数以进行hook框架的初始化,然后给如下几个函数下hook inline void setup() { using namespace detail; // MinHook框架 初始化 assert(MH_Initialize() == MH_OK); // CreateFileW、DeviceIoControl、I_RpcBindingInqLocalClientPID、WaitForSingleObject assert(create_hook(::CreateFile...
96.hook原理 97.windows消息hook 98.内联(inline)hook 99.64位内联hook 100.IAT hook 101.异常处理hook 102.hook框架 103.注入原理 104.进程挂靠 105.远程线程注入 106.IAT注入 107.APC式注入 108.反射式注入 109.com注入 110.process-hollowing 111.进程dump ...