被IAT hook 后怎么获得函数的原始地址

leijianmo1413 2017-06-03 02:57:22

函数已经被IAThook
图中是PCHunter获得到的地址
求教怎么才能获得被IATHOOK后的函数的原始地址呢?

...全文

866 5 打赏收藏转发到动态举报

写回复

用AI写文章

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

zwfgdlc 2017-06-07

打赏
举报

就是GetProcAddress

zgl7903 2017-06-07

打赏
举报

试试 GetProcAddress

赵4老师 2017-06-05

打赏
举报

WinAPIOverride http://jacquelin.potier.free.fr/winapioverride32/

汪宁宇 2017-06-05

打赏
举报

引用楼主 leijianmo1413 的回复:

函数已经被IAThook 图中是PCHunter获得到的地址求教怎么才能获得被IATHOOK后的函数的原始地址呢?

搜索关键词：内存加载、重定向可绕过一切ring3 HOOK

本文实例讲述了C++基于hook iat改变Messagebox的方法，分享给大家供大家参考。具体方法如下：步骤： 1. 定义原始函数类型的写法代码如下://定义函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType); //保存原始的MessageBox地址,注意这里 PROC g_orgProc = (PROC)MessageBox; 2. 先找到dll，找到后设置标志代码如下:if (stricmp(pszDllName,

当你在网络上抓到一些数据包，想知道这些包是哪个进程发出来的时候，怎么办？这个小工具也许能帮一些忙。这个工具采用的是HOOK进程的winsock API，把一些数据记录下来。 HOOK API在《windows核心编程》提到的有两种， 1.1 修改IAT。缺点：象shellcode中常用的那种根据DLL输出表来计算函数地址的方法，修改IAT就无法HOOK到目标函数了。 1.2 修改目标函数的前几字节，跳转到我们的函数，我们的函数里面再把那几个字节还原，调用原函数。重复。缺点：多线程环境下这种方法并不健壮。 29A杂志里面的文章《挂钩Windows API》也提到了几种办法：（中译文见http://www.xfocus.net/articles/200403/681.html） 2.1 patch静态文件，即运行前挂钩. 2.2 也是修改IAT，跟1.1一样. 2.3 修改目标函数的前几个字节，跳转到新的函数，但不再调用原始函数，无实际意义，作者只是做演示？ 2.4 这种方法(3.2.3 保存原始函数)很COOL，其中的亮点和难点就是“获取任意地址的指令长度”。之前我也想用2.4这种办法，但卡在如何“获取任意地址的指令长度”上面了:( 在看到《挂钩Windows API》这篇文章之前，我取了一个比较简单有效的办法： 3.1 把目标函数的DLL COPY一份到内存中，修改原目标函数的前几字节，跳转到我们的函数，在我们的函数中调用原函数新的COPY。

一：SSDT表的hook检测和恢复 ~！~~~ 二：IDT表的hook检测和恢复 ~~~~~~（idt多处理器的恢复没处理，自己机器是单核的，没得搞，不过多核的列举可以）三：系统加载驱动模块的检测通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果，最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机，别的机器都没事，手动设置热键来蓝屏都不行，没dump没法分析，哎，郁闷) 4从本驱动的Modulelist开始遍历来列举驱动四：进程的列举和进程所加载的dll检测采用以下方法来列举进程： 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册，从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象进程操作：进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的进程结束通过进程空间清0和插入apc。采用以下方法查找DLL： 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作： Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection（从sdt表中相应函数搜索到的）来实现的（本来想直接清0 dll空间，有时行有时不行）（只要将这个进程的ntdll卸载了，进程就结束了，一个好的杀进程的办法撒，绿色环保无污染），注入dll使用的是插入apc实现的。（注入的dll必须是realse版的。Debug版会出现***错误，全局dll注入貌似也是）插入apc效果不是很好，要有线程有告警状态才执行。五：线程信息的检测遍历ThreadList来枚举线程线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的，通过插入APC来结束线程六：shadow sdt表的hook检测与恢复没有采用pdb来解决函数名问题，直接写入xp和03的shandow表函数名（主要是自己的网不稳定，连windbg有时都连不上微软）七：系统所有的过滤驱动的检测查看各device下是否挂接有驱动之类的，可直接卸载八：系统常用回调历程的检测和清除只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个，至于那个什么shutdown回调不知道是啥玩意，就没搞了，有知道的顺便告诉我下撒，谢谢九：文件系统fat和ntfs的分发函数检测直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移，然后和当前已经运行的文件系统的分发相比是否被hook，并附带恢复十：文件查看功能自己解析ntfs和fat的结构，来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题，ntfs删除有时把目录给搞坏了，大家凑合着吧， Ntfs网上删除这些操作的代码不多，就是sudami大大的利用ntfs-3g来实现的，看了下，太多了，充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除，父目录的对应文件的索引项的覆盖，删除文件对应的filerecord清0. 另外偷懒时间都没处理，呵呵，y的，一个破时间都都搞好几个字节移来移去的。十一：常用内核模块钩子的检测和恢复这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys，hal.dll，比对它们的原始文件从而查找eat inline hook，iat hook ，和inline hook。Inline是从TEXT段开始一段位置开始比较的。（有点慢貌似，等待显示扫描完成就好了）十二：应用层进程所加载dll的钩子应用层钩子检测和内核模块钩子检测原理一样，不过为了能读写别的进程的空间，并没有使用openprocess去打开进程，而是通过KiattachProcess挂靠到当前进程，然后通过在r0直接读写进程空间的。

IAT Hook是Ring3层常用的Hook之一，主要思路大家都知道，就是修改IAT中的函数地址。

IAT（Import Address Table）Hook是一种针对Windows操作系统的API Hooking 技术，用于修改应用程序对动态链接库（DLL）中导入函数的调用。IAT是一个数据结构，其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针，将原本要调用的函数指向另一个自定义的函数。这样，在应用程序执行时，当调用被钩子的函数时，实际上会执行自定义的函数。通过IAT Hook，我们可以拦截和修改应用程序的函数调用，以实现一些自定义的行为，比如记录日

硬件/系统

2,640

社区成员

17,239

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章

被IAT hook 后 怎么获得函数的原始地址

被IAT hook 后怎么获得函数的原始地址