吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 13754|回复: 89

[原创逆向图文] HOOK技术的简单使用

  [复制链接]
无邪 发表于 2014-10-15 00:42 | 显示全部楼层 |阅读模式

本帖最后由 无邪 于 2014-10-15 16:37 编辑

API HOOK
别人求你逆向的时候甩手一个DLL过去,
这种分析方法是不是很炫酷?
这篇文章就与大家谈论如何利用APIHOOK的技术让逆向成为一个DLL的事情!
API HOOK字面上的意思就是勾住(hook)API
为什么要勾住API,是为了让API功能更为强大,也就是给他加上更多的功能。
那就意味着我可以修改程序所调用的API,完成我所需要修改的内存。(逆向)

引用一段百度百科上的话使大家更易理解:
windows系统下编程,应该会接触到api函数的使用,常用的api函数大概有2000个左右。今天随着控件,stl等高效编程技术的出现,api的使用概率在普通的用户程序上就变得越来越小了。当诸如控件这些现成的手段不能实现的功能时,我们还需要借助api。最初有些人对某些api函数的功能不太满意,就产生了如何修改这些api,使之更好的服务于程序的想法,这样api hook就自然而然的出现了。我们可以通过api hook,改变一个系统api的原有功能。基本的方法就是通过hook“接触”到需要修改的api函数入口点,改变它的地址指向新的自定义的函数。


原理说实话没必要太过的理解,懂得如何使用的就可以了!

这里首先给大家推荐一个工具:
飘云阁的一款DLL劫持的补丁制作工具
PYG_DLL_Patcher.zip (1.62 MB, 下载次数: 230)

以及一个小例子
例子.zip (574.41 KB, 下载次数: 108)

首先拿OD加载我们的例子
可以看到明显加壳了。。
运行后程序代码段完全解码
这个例子的分析方法我也不多说了
004010F5 |. /0F84 68000000 je 例子.00401163
NOP这条代码即可!
有无数个方法可以实现,
未破解.jpg
而我还想修改程序判断的文本和信息框的提示呢?
今天我们用API HOOK来实现这些!


我们需要选择一个API来进行劫持,
这个API的选择只有一个要求。。
程序第一次使用这个API的时候,
程序代码段已经解码了!
我选择的是CreateWindowExA这个API
大家可以在OD里面反复的实验来找到适合的API进行Hook
打开DLL劫持补丁制作工具,
对所需要HOOKAPI进行选择,
填写需要HOOK的程序名称
选择要生成的类型
基本选项.png

这个是非常简单的程序。。。
我们如果只想逆向他的话可以直接修改
004010F5 |. /0F84 68000000 je 例子.00401163
90 90 90 90 90 90
直接patch地址.png

如果希望程序输入某串字符才可以登录成功的话
还可以这么写
修改内容.png

这样设置好一切之后点击生成
就会在DLL劫持补丁制作工具的文件夹下生成一个DLL
把他与例子.exe放在同一个文件夹下就能自动hook了!
赶快试试吧!

这个就是我做的DLL!
version.zip (50.38 KB, 下载次数: 44)

附上成功修改判断内容以及判断成功提示的文本图!
hook成功.png
hook成功2.png





点评

起凡第一华佗”点评说:
你能不能录个教材?我都不知道你是怎么算的补丁数据  发表于 2014-10-15 06:23

评分

参与人数 44威望 +1 HB +133 THX +35 收起 理由
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
29590 + 1
24567 + 1
Jawon + 1
太阳神 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
一路走来不容易 + 1
Soul1999 + 1
Wayne + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
玄一 + 1 + 1
行行行行行行 + 1
银河星光 + 1
冷亦飞 + 1
消逝的过去 + 1
l278785481 + 1
方长 + 2 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
SmallEXpel + 1
jaunic + 1
lies + 1
勇敢的心 + 1 分享精神,是最值得尊敬的!
青熟年 + 1 大赞,好人一枚
Heaven丶衫 + 2 + 1 学破解论坛1周年了,感谢大家的付出与关注。学破解论坛助你呼风唤雨!!!
woshuoxiang + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
东子郭 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
岁月神偷 + 1 + 1 支持!我很赞同!
永恒的夜 + 1 + 1 支持!我很赞同!
十月 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
314631309 + 1 + 1 HOOK真的怎么看都好流弊
Badman + 3 + 1 出个视频吧楼主
旁观者 + 3 + 1 积极评分从我做起,感谢!
bigeorry + 3 + 1 你将受到所有人的崇拜!
PS_URINE + 3 + 1 积极评分从我做起,感谢!
rain灿 + 3 + 1 日。。姐姐竟然一个帖子就精了。早知道我也发这个了。
Bill + 3 + 1 无邪师傅,收徒弟吗
Top丶邪少 + 10 + 1 感谢分享,希望楼主出一个视频教程
童真丶 + 3 + 1 你将受到所有人的崇拜!
雨季 + 5 支持原创,感谢楼主!
微笑的耗子 + 5 + 1 录个教程讲的详细些吧,菜鸟很多看不懂
大鸿 + 5 + 1 支持原创,感谢楼主!
起凡第一华佗 + 15 + 1 积极评分从我做起,感谢!
钱满满 + 3 + 1 我很赞同!
天线宝宝 + 3 + 1 积极评分从我做起,感谢!
轮回 + 16 + 1 Get!Thanks!
Shark恒 + 1 + 15 + 1 你将受到所有人的崇拜!
小强 + 12 + 1 支持原创,感谢楼主!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 无邪 发表于 2014-10-15 15:55 | 显示全部楼层

pnccm 发表于 2014-10-15 11:31
冲着补丁而来的。不知道这补丁适用win7的吗?以前的那些dll补丁工具在win7下都无效

好像这个工具只支持32位下DLL劫持

64位的API和32位下的API不一样..
64劫持API需要自己写64位API 的HOOK了
应该是这样

评分

参与人数 1HB +1 THX +1 收起 理由
pnccm + 1 + 1 我的就是64位。难怪会无效

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 无邪 发表于 2014-10-15 00:43 | 显示全部楼层

沙发自坐..
一点点逆向心得,
不喜勿看勿喷
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
小强 发表于 2014-10-15 00:46 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2014-10-15 00:58 | 显示全部楼层

刚来第一帖就是精华,霸气外楼的无邪!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
Yc°杨 发表于 2014-10-15 00:59 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 无邪 发表于 2014-10-15 01:04 | 显示全部楼层

Shark恒 发表于 2014-10-15 00:58
刚来第一帖就是精华,霸气外楼的无邪!

初来乍到,鲨鱼大求罩
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 无邪 发表于 2014-10-15 01:04 | 显示全部楼层


你的积分怎么那么高..分点给我

点评

小强”点评说:
我是版主。啊  详情 回复 发表于 2014-10-15 01:09
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
小强 发表于 2014-10-15 01:09 | 显示全部楼层

无邪 发表于 2014-10-15 01:04
你的积分怎么那么高..分点给我

我是版主。啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
轮回 发表于 2014-10-15 01:11 | 显示全部楼层




我擦,刚才在看东西,怎么帖子已经发了。我汗!!!!让我膜拜吧!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
轮回 发表于 2014-10-15 01:14 | 显示全部楼层

我们需要选择一个API来进行劫持,
这个API的选择只有一个要求。。
程序第一次使用这个API的时候,
程序代码段已经解码了!
我选择的是CreateWindowExA这个API

上面这些不太懂!!!

点评

Shark恒”点评说:
就是程序解码以后的函数,这个函数越早越好。  详情 回复 发表于 2014-10-15 01:19
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层 10层
赞帖  
2层  
3层  
4层  
5层  
6层  
7层  
8层  
9层  

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表