黑客爱用的HOOK技术大揭秘 github黑客工具
yuyutoo 2024-10-22 18:36 1 浏览 0 评论
什么是HOOK技术?
病毒木马为何惨遭杀软拦截?
商业软件为何频遭免费破解?
系统漏洞为何能被补丁修复?
这一切的背后到底是人性的扭曲,还是道德的沦丧,尽请收看今天的专题文章:《什么是HOOK技术?》
上面是开个玩笑,言归正传,今天来聊的话题就是安全领域一个非常重要的技术:HOOK技术。
HOOK,英文意思是“钩子”
在计算机编程中,HOOK是一种「劫持」程序原有执行流程,添加额外处理逻辑的一种技术。
按照这个定义,其实我们Python中的装饰器和Java中的注解,这种面向切面编程的手法在某种程度上来说,也算是HOOK。
不同的是,本文要探讨的HOOK并非属于程序原有的逻辑,而是在程序已经编译成可执行文件甚至已经在运行中的时候,如何劫持和修改程序的流程。
按照劫持的目标不同,常见的HOOK有以下这些类型:
Inline HOOKIAT HOOKC++ virtable HOOKSEH HOOKIDT HOOKSSDT HOOKIRP HOOKTDI HOOK && NDIS HOOKWindows Message HOOK
接下来,咱们挨个来看一下。
Inline HOOK
程序和代码是给程序员们看的,计算机要运行,最终是要编译成CPU的机器指令才能执行。
Inline HOOK的目标就是直接修改程序编译后的指令,属于最基础也最常见的HOOK技术。
下面我们以一个实例来感受一下Inline HOOK的效果:
void functionA() {
cout << "this is function A" << endl;
}
void hookFunction() {
cout << "this is hookFunction" << endl;
}
int main() {
cout << "before hook" << endl;
functionA();
// prepare hook
unsigned char code[5] = { 0xe9, 0x00, 0x00, 0x00, 0x00 };
unsigned int offset = (unsigned int)hookFunction - ((unsigned int)functionA + 5);
*(unsigned int*)&code[1] = offset;
// install hook
unsigned long old = 0;
VirtualProtect(functionA, 0x1000, PAGE_EXECUTE_READWRITE, &old);
memcpy(functionA, code, 5);
cout << "after hook" << endl;
functionA();
return 0;
}
输出:
代码中定义了目标函数functionA和hook函数hookFunction。
第一次调用,输出显示调用了原函数。
然后安装一个HOOK,准备了一条jmp指令,覆盖函数入口处的指令。此时观察覆盖前后的函数指令变化对比:
再次调用该函数,则一进入就发生跳转,我们安装的HOOK函数得到了执行。
所以第二次输出显示HOOK函数得到了调用。
大部分情况下,我们习惯于在函数入口处执行HOOK,但这并不是绝对的,还需要具体问题具体分析。比如如果我们需要等待函数执行完毕时拿到返回值才能介入处理,这个时候就需要在函数return的地方进行HOOK。甚至有可能需要在函数中途某个地方介入,这个时候就需要更进一步的对函数的反编译指令进行分析,确定HOOK的点位和处理逻辑。
执行Inline HOOK非常关键的几点:
- 指令所在的内存页是否允许写入操作,若只读,须先添加写入权限
- 需要动态解析目标位置处的指令,不能像上面那样暴力覆盖,否则会影响原来函数的执行逻辑
- 如果在HOOK处理函数中需要调用原函数,注意别陷入死循环
- 如果有参数,需要处理好堆栈平衡
Inline HOOK由于是直接在CPU机器指令层面上的操作,所以首先是无法做到跨平台。同时,还需要对CPU的指令集有一定程序的了解,具备一定的汇编语言功底。
好在,IT行业从来不缺造轮子的人,已经有不少优秀的开源项目将Inline HOOK封装成库,比如:Detours。
除了直接修改函数的机器指令,还有一类HOOK,它们修改的是某些重要的函数指针,从而达到劫持执行的目的。
形形色色的函数指针,就衍生出各式各样的HOOK技术。
IAT HOOK
一个程序的所有代码一般不会全部都编译到一个模块中,分拆到不同的模块既有利于合作开发,也有利于代码管理,降低耦合。
动态链接库就提供了这样的能力,将不同的模块编译成一个个的动态库文件,在使用时引入调用。
在Windows平台上,动态链接库一般以DLL文件的形式存在,主程序模块一般是EXE文件形式存在。无论是EXE还是DLL,都是属于PE文件。
一个模块引用了哪些模块的哪些函数,是被记录在PE文件的导入表IAT中。这个表格位于PE文件的头部,里面记录了模块的名字,函数的名字。
在模块加载时,模块加载器将解析对应函数的实际地址,填入到导入表中。
通过修改导入表IAT中函数的地址,这种HOOK叫IAT HOOK。
SEH HOOK
SEH是Windows操作系统上结构化异常处理的缩写,在代码中通过try/except来捕获异常时,操作系统将会在线程的栈空间里安置一个异常处理器(其实就是一个数据结构),里面定义了发生异常时该去执行哪里的代码处理异常。
异常处理可以多级嵌套,那多个异常处理就构成了一个链表,存在于栈空间之上。
当发生异常时,操作系统系统就从最近的异常处理器进行寻求处理,如果能处理则罢了,不能处理就继续寻求更上一级的异常处理器,直到找到能处理的异常处理器。如果都没法处理,那对不起,只好弹出那个经典的报错对话框,进程崩溃。
SEH HOOK针对的目标就是修改这些异常处理器中记录的函数指针,当异常发生时就能获得执行,从而劫持到执行流!因为这些异常处理器都位于线程的栈空间,修改起来并非难事。
C++ virtable HOOK
C++是一门面向对象的编程语言,支持面向对象的三大特性:封装性、继承性、多态性。
其中的多态性,各个C++编译器基本上都是通过一种叫虚函数表的机制来实现。
下面通过一个实际的例子来感受一下虚函数表在C++多态性上发挥的作用。
#include <iostream>
using namespace std;
class Animal {
public:
virtual void breathe() {
cout << "Animal breathe" << endl;
}
virtual void eat() {
cout << "Animal eat" << endl;
}
};
class Fish : public Animal {
public:
virtual void breathe() {
cout << "Fish breathe" << endl;
}
virtual void eat() {
cout << "Fish eat" << endl;
}
};
class Cat : public Animal {
public:
virtual void breathe() {
cout << "Cat breathe" << endl;
}
virtual void eat() {
cout << "Cat eat" << endl;
}
};
int main() {
Animal* animal = nullptr;
Fish* fish = new Fish();
Cat* cat = new Cat();
animal = fish;
animal->breathe();
animal->eat();
cout << "--------------" << endl;
cout << "sizeof(fish) = " << sizeof(fish) << endl;
cout << "sizeof(cat) = " << sizeof(cat) << endl;
cout << "--------------" << endl;
animal = cat;
animal->breathe();
animal->eat();
delete fish;
delete cat;
return 0;
}
输出:
通过上面的输出,可以看到,fish和cat对象都只占据4个字节。因为这两个类都没有成员变量,唯一需要存储的就是一个虚函数表指针。
以cat对象为例,看一下它的地址,是0x005cfc30:
看一下这个地址起始的4个字节,是什么:
虚表指针是0x000d9b90(这里需要注意字节顺序)。
通过这个地址,找到虚函数表,里面有两个函数地址:
查看这两个地址,都是指向了一个jmp指令,分别跳到了Cat类的两个虚函数。
通过上面的实例,总结一下对象、虚函数表和虚函数代码之间的关系如下图所示:
每个包含虚函数的类对象,在内存中都有一个指针,位于对象头部,指向的是一个虚函数表,表中的每一项都是虚函数地址。
类继承后,如果重写了父类的虚函数,子类对象指向的表格中对应函数的地址将会更新为子类的函数。
这样,使用父类指针指向子类对象,通过指针调用虚函数时,就能调用到子类重写的虚函数,从而实现多态性。
既然是记录函数地址的表格,那就有存在被篡改的可能,这就是C++ virtable HOOK。
通过篡改对应虚函数的地址,实现对相应函数调用的拦截。
实施这种HOOK,需要逆向分析目标C++对象的结构,掌握虚函数表中各个函数的位置,才能精准打击。
上面几种HOOK,修改的都是应用层的函数指针,而操作系统内核中还有一些非常重要的表格,它们的表项中记录了一些更加关键的函数,HOOK这些表格中的函数是非常高危的操作,操作不当将导致操作系统崩溃。当然,高风险高回报,HOOK这些函数,能实现一些非常强大的功能,是病毒、木马、安全软件非常爱干的事情。
SSDT HOOK
系统调用是操作系统提供给应用程序的编程接口API,应用程序通过这些API得以操作计算机的资源(如进程、网络、文件等)。
执行系统调用的时候,CPU将从用户模式切换到内核模式,进入内核后,将会根据系统调用的API编号,去找到对应的系统服务函数,实现对应API的功能。
操作系统将所有的系统服务函数地址,存放在了一个表格中,这个表格就是系统服务描述符表。在Linux上,这个表格的名字叫sys_call_table,在Windows上,它叫KeServiceDescriptorTable,简称SSDT。
Windows上的SSDT向来是兵家必争之地,安全软件为了监控应用程序的行为,通常都会替换SSDT表格中的系统服务函数地址为它们的函数。当系统调用触发时,安全软件将会及时知晓,并通过应用程序的参数来判定是否“放行”这次调用。
IDT HOOK
内核中除了记录系统服务的SSDT,还有一个非常重要的表格:中断描述符表IDT。
IDT用于记录CPU执行过程中遇到中断、异常等情况时,该转向哪里去处理这些情况的函数地址。
HOOK IDT有一个注意事项,不同于SSDT是全局唯一的,IDT是与CPU核心紧密相关的,对于多核处理器,会对应多个IDT表。如果想通过HOOK IDT中的函数来搞事情的话,可能需要同时处理多个表。
除了直接修改函数指令和修改函数指针之外,还有一类特殊的HOOK,它们通过系统提供的机制拦截某些消息、通知,从而有机会介入监听、拦截。
IRP HOOK
在Windows系统上,用户程序和内核驱动之间的交互是通过一种称为IRP的数据结构实现的,你可以简单将其理解为应用程序发送了一个消息下去,这个消息就是一个IRP。
而接收消息的目标,是驱动程序创建的设备Device。注意,这个设备不一定是物理设备,也可能完全不存在的虚拟设备,驱动程序可以任意创建一个不存在的设备。
Windows内核中提供了驱动设备的挂载操作,允许别的驱动程序对指定设备进行挂载,从而可以截获发送给该设备的“消息”,这种HOOK方式被称为IRP HOOK。
国内一些安全软件为了互相攻击,经常用这种方式拦截对方驱动程序的消息,从而可以“保护”自己不被对方干掉。
TDI HOOK && NDIS HOOK
这两种HOOK方式与Windows内核中的网络子系统密切相关。
Windows内核中的网络结构是分层式设计。从最上层的API socket层、到TCP/IP协议栈层、再到底层的网卡驱动程序,分了很多个层次。
而层与层之间的交互,是通过一系列标准接口来实现的,其中最重要的两个接口标准就是TDI和NDIS。TDI封装了不同协议栈的差异(Windows不止支持TCP/IP协议栈)提供给上层统一的调用接口。NDIS则封装了底层不同网卡的驱动程序接口差异,提供给上层统一的收发数据包接口。
Windows为了扩展性支持,允许类似防火墙之类的软件通过这些接口接入,从而能够截获到网络通信流量,进行安全审计。
既然开了这些接口,一些流氓软件和木马病毒也就盯上了它们,通过这些接口就能轻松监听、篡改网络数据,达到邪恶的目的。
Windows Message HOOK
Windows操作系统的UI交互是以消息来驱动的,用户的键盘输入、鼠标操作都会被操作系统以消息的形式发送到各个应用程序处理。
Windows提供了API接口,可以被程序用于捕获这些消息,从而实现一些特定的功能。
HHOOK SetWindowsHookEx(
int idHook,
HOOKPROC lpfn,
HINSTANCE hmod,
DWORD dwThreadId
);
这种机制叫做Windows消息钩子,最常见的就要数键盘钩子了,在十多年前流氓软件和木马病毒大行其道的时候,这些恶意软件经常喜欢通过这种方式来监听用户的键盘输入,从而来盗取QQ密码(当然,现在肯定是不行的了)。
总结
以上就是要介绍的全部HOOK技术了。当然有HOOK,就有反HOOK,很多安全软件都会检查关键的位置是否被篡改。不仅如此,因为流氓软件随意修改系统,Windows从Win7 x64开始加入了PatchGuard机制,针对操作系统核心数据结构都加入了定时检测机制,一旦发现被篡改,立刻蓝屏给你看,而且在随着系统升级换代,这个检查的粒度和强度变得越来越强。
最后来回到文章开头的几个问题:
病毒木马为何惨遭杀软拦截?
因为安全软件在内核中HOOK了大量的关键位置,病毒木马的进程、文件、网络行为都将受到监控,一举一动都难逃杀软的眼睛,想要拦截易如反掌。
商业软件为何频遭免费破解?
通过逆向分析加上Inline HOOK,破解者可以篡改掉商业软件的注册校验机制,让校验函数返回成功,绕开软件的限制。
系统漏洞为何能被补丁修复?
统一通过Inline HOOK,操作系统能够修改原来有bug的代码,转而执行修复后的新版本,解决系统漏洞。
需要HOOK技术文档的同学可以 点赞+关注后 私信【技术文档】即可免费领取
【HOOK技术文档】
** 你看,技术就是一柄双刃剑,善或恶,一念之间。
相关推荐
- mysql数据库如何快速获得库中无主键的表
-
概述总结一下MySQL数据库查看无主键表的一些sql,一起来看看吧~1、查看表主键信息--查看表主键信息SELECTt.TABLE_NAME,t.CONSTRAINT_TYPE,c.C...
- 一文读懂MySQL的架构设计
-
MySQL是一种流行的开源关系型数据库管理系统,它由四个主要组件构成:协议接入层...
- MySQL中的存储过程和函数
-
原文地址:https://dwz.cn/6Ysx1KXs作者:best.lei存储过程和函数简单的说,存储过程就是一条或者多条SQL语句的集合。可以视为批文件,但是其作用不仅仅局限于批处理。本文主要介...
- 创建数据表:MySQL 中的 CREATE 命令深入探讨
-
数据库是企业日常运营和业务发展的不可缺少的基石。MySQL是一款优秀的关系型数据库管理系统,它支持数据的插入、修改、查询和删除操作。在数据库中,表是一个关系数据库中用于保存数据的容器,它由表定义、表...
- SQL优化——IN和EXISTS谁的效率更高
-
IN和EXISTS被频繁使用在SQL中,虽然作用是一样的,但是在使用效率谁更高这点上众说纷纭。下面我们就通过一组测试来看,在不同场景下,使用哪个效率更高。...
- 在MySQL中创建新的数据库,可以使用命令,也可以通过MySQL工作台
-
摘要:在本教程中,你将学习如何使用MySQLCREATEDATABASE语句在MySQL数据库服务器上创建新数据库。MySQLCREATEDATABASE语句简介...
- SQL查找是否"存在",别再用count了
-
根据某一条件从数据库表中查询『有』与『没有』,只有两种状态,那为什么在写SQL的时候,还要SELECTCOUNT(*)呢?无论是刚入道的程序员新星,还是精湛沙场多年的程序员老白,都是一如既往...
- 解决Mysql数据库提示innodb表不存在的问题
-
发现mysql的error.log里面有报错:>InnoDB:Error:Table"mysql"."innodb_table_stats"notfo...
- Mysql实战总结&面试20问
-
1、MySQL索引使用注意事项1.1、索引哪些情况会失效查询条件包含or,可能导致索引失效如果字段类型是字符串,where时一定用引号括起来,否则索引失效...
- MySQL创建数据表
-
数据库有了后,就可以在库里面建各种数据表了。创建数据表的过程是规定数据列的属性的过程,同时也是实施数据完整性(包括实体完整性、引用完整性和域完整性)约束的过程。后面也是通过SQL语句和Navicat...
- MySQL数据库之死锁与解决方案
-
一、表的死锁产生原因:...
- MySQL创建数据库
-
我的重点还是放在数据表的操作,但第一篇还是先介绍一下数据表的容器数据库的一些操作。主要涉及数据库的创建、修改、删除和查看,下面演示一下用SQL语句创建和用图形工具创建。后面主要使用的工具是Navica...
- MySQL中创建触发器需要执行哪些操作?
-
什么是触发器触发器,就是一种特殊的存储过程。触发器和存储过程一样是一个能够完成特定功能、存储在数据库服务器上的SQL片段,但是触发器无需调用,当对数据库表中的数据执行DML操作时自动触发这个SQL片段...
- 《MySQL 入门教程》第 17 篇 MySQL 变量
-
原文地址:https://blog.csdn.net/horses/article/details/107736801原文作者:不剪发的Tony老师来源平台:CSDN变量是一个拥有名字的对象,可以用于...
- 关于如何在MySQL中创建表,看这篇文章就差不多了
-
数据库技术是现代科技领域中至关重要的一部分,而MySQL作为最流行的关系型数据库管理系统之一,在数据存储和管理方面扮演着重要角色。本文将深入探讨MySQL中CREATETABLE语句的应用,以及如何...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- mybatis plus (70)
- scheduledtask (71)
- css滚动条 (60)
- java学生成绩管理系统 (59)
- 结构体数组 (69)
- databasemetadata (64)
- javastatic (68)
- jsp实用教程 (53)
- fontawesome (57)
- widget开发 (57)
- vb net教程 (62)
- hibernate 教程 (63)
- case语句 (57)
- svn连接 (74)
- directoryindex (69)
- session timeout (58)
- textbox换行 (67)
- extension_dir (64)
- linearlayout (58)
- vba高级教程 (75)
- iframe用法 (58)
- sqlparameter (59)
- trim函数 (59)
- flex布局 (63)
- contextloaderlistener (56)