r3层下一种另类的hook方式 hookSyscall

泪流过o · 发表于 2018-4-16 01:23:09

以下代码是以hook OpenThread为例，如有不对的地方还请大神不吝赐教
hook SysCall应该是r3下比较底层的hook了，这种hook方式不是太多的杀软或者保护系统会去检测，暂时来说还是有一定的隐蔽性的

取得syscall的地址我是通过fs:[0xC0]获得的。

_按钮1_被单击的代码是测试用的，正常情况下，按下按钮整个窗口就会卡死，因为主线程被挂起了，hook之后按下了没反应

代码需要编译出来测试.基于我的系统编写的，不敢保证所有机器能用

mySysCall下的7个字节的nop是为了占位，因为我hook损坏的哪行代码是7个字节的。push 0x400000 retn是用来跳回原代码执行的。

子程序名	返回值类型	公开	备注
__启动窗口_创建完毕

setHook ()

子程序名	返回值类型	公开	备注
setHook

变量名	类型	静态	数组	备注
sysCallAddr	整数型
oldCode	字节集
oldFlag	整数型
lenth	整数型
newCode	字节集
myFunJmpAddr	整数型

' 取得SysCall的地址
sysCallAddr ＝ _getSysCallAddr ()
myOutPutDebugString (“sysCallAddr = 0x” ＋取十六进制文本 (sysCallAddr))
' 计算我们hook要跳转的字节数
VirtualProtect (sysCallAddr, 5, #PAGE_EXECUTE_READWRITE, oldFlag)
oldCode ＝ _读字节集 (sysCallAddr, 7) ' 读取原始代码
lenth ＝ _取真实地址 (&mySysCall) ＋ 3 － sysCallAddr － 5
' 修改7个nop的位置为被我们损坏的代码
myFunJmpAddr ＝ _取真实地址 (&mySysCall) ＋ 3 ＋ 7
VirtualProtect (myFunJmpAddr, 5, #PAGE_EXECUTE_READWRITE, oldFlag)
写到内存 (oldCode, myFunJmpAddr, )
' 修改要跳回的地址
myFunJmpAddr ＝ _取真实地址 (&mySysCall) ＋ 3 ＋ 15
VirtualProtect (myFunJmpAddr, 5, #PAGE_EXECUTE_READWRITE, oldFlag)
写到内存 (到整数 (sysCallAddr ＋ 7), myFunJmpAddr, )
' hook syscall
newCode ＝ { 233 } ＋到字节集 (lenth)
写到内存 (newCode, sysCallAddr, )

子程序名	返回值类型	公开	备注
mySysCall

' _asm{
' cmp eax,0xFE
' je next
' nop
' nop
' nop
' nop
' nop
' nop
' nop
' push 0x400000
' retn
' next:
' add esp,0x4
' retn 0x10
' }

子程序名	返回值类型	公开	备注
_取真实地址	整数型
参数名	类型	参考	可空	数组	备注
子程序指针	子程序指针

变量名	类型	静态	数组	备注
返回值
i	整数型

变量循环首 (到整数 (子程序指针), 到整数 (子程序指针) ＋ 255, 1, i)

如果真 (指针到字节集 (i, 1) ＝ { 232 }) ' E8 call

返回值＝ i ＋取字节集数据 (指针到字节集 (i ＋ 1, 4), #整数型, ) ＋ 5

跳出循环 ()

变量循环尾 ()
返回 (返回值)

子程序名	返回值类型	公开	备注
_读字节集	字节集
参数名	类型	参考	可空	数组	备注
内存地址	整数型
读取长度	整数型

变量名	类型	静态	数组	备注
变量	字节集

变量＝取空白字节集 (读取长度)
置入代码 ({ 96, 139, 117, 8, 129, 254, 0, 0, 1, 0, 126, 27, 139, 93, 12, 139, 85, 252, 131, 194, 8, 191, 0, 0, 0, 0, 57, 251, 126, 9, 138, 4, 62, 136, 4, 58, 71, 235, 243, 97 })
' pushad
' mov esi,[ebp+0x8]
' cmp esi,0x10000
' jle Label1
' mov ebx,[ebp+0xC]
' mov edx,[ebp-0x4]
' add edx,0x8
' mov edi,0x0
' Label3:
' cmp ebx,edi
' jle Label2
' mov al,[esi+edi]
' mov [edx+edi],al
' inc edi
' jmp Label3
' Label2:
' Label1:
' popad
返回 (变量)

子程序名	返回值类型	公开	备注
_读整数型	整数型
参数名	类型	参考	可空	数组	备注
Address	整数型

置入代码 ({ 139, 77, 8, 139, 1, 139, 229, 93, 194, 4, 0 })
返回 (0)

子程序名	返回值类型	公开	备注
_getSysCallAddr	整数型

变量名	类型	静态	数组	备注
a	整数型

a ＝ 0
置入代码 ({ 100, 161, 192, 0, 0, 0 })
' _asm:mov [ebp-0x4],eax
返回 (a)

子程序名	返回值类型	公开	备注
myOutPutDebugString
参数名	类型	参考	可空	数组	备注
str	文本型

OutputDebugString (“[msg] ” ＋ str)

子程序名	返回值类型	公开	备注
_按钮1_被单击

变量名	类型	静态	数组	备注
hThread	整数型

hThread ＝ OpenThread ( #THREAD_ALL_ACCESS, #NULL, GetCurrentThreadId ())
SuspendThread (hThread)
CloseHandle (hThread)

i支持库列表	支持库注释
const	(未知支持库)

.版本 2<br />
.支持库 const<br />
<br />
.子程序 __启动窗口_创建完毕<br />
<br />
setHook ()<br />
<br />
<br />
<br />
.子程序 setHook<br />
.局部变量 sysCallAddr, 整数型<br />
.局部变量 oldCode, 字节集<br />
.局部变量 oldFlag, 整数型<br />
.局部变量 lenth, 整数型<br />
.局部变量 newCode, 字节集<br />
.局部变量 myFunJmpAddr, 整数型<br />
<br />
' 取得SysCall的地址<br />
sysCallAddr ＝ _getSysCallAddr ()<br />
myOutPutDebugString (“sysCallAddr = 0x” ＋ 取十六进制文本 (sysCallAddr))<br />
<br />
' 计算我们hook要跳转的字节数<br />
VirtualProtect (sysCallAddr, 5, #PAGE_EXECUTE_READWRITE, oldFlag)<br />
oldCode ＝ _读字节集 (sysCallAddr, 7)  ' 读取原始代码<br />
lenth ＝ _取真实地址 (&mySysCall) ＋ 3 － sysCallAddr － 5<br />
<br />
' 修改7个nop的位置为被我们损坏的代码<br />
myFunJmpAddr ＝ _取真实地址 (&mySysCall) ＋ 3 ＋ 7<br />
VirtualProtect (myFunJmpAddr, 5, #PAGE_EXECUTE_READWRITE, oldFlag)<br />
写到内存 (oldCode, myFunJmpAddr, )<br />
<br />
' 修改要跳回的地址<br />
myFunJmpAddr ＝ _取真实地址 (&mySysCall) ＋ 3 ＋ 15<br />
VirtualProtect (myFunJmpAddr, 5, #PAGE_EXECUTE_READWRITE, oldFlag)<br />
写到内存 (到整数 (sysCallAddr ＋ 7), myFunJmpAddr, )<br />
<br />
' hook syscall<br />
newCode ＝ { 233 } ＋ 到字节集 (lenth)<br />
写到内存 (newCode, sysCallAddr, )<br />
<br />
<br />
.子程序 mySysCall<br />
<br />
' _asm{<br />
' cmp eax,0xFE<br />
' je next<br />
' nop<br />
' nop<br />
' nop<br />
' nop<br />
' nop<br />
' nop<br />
' nop<br />
' push 0x400000<br />
' retn<br />
' next:<br />
' add esp,0x4<br />
' retn 0x10<br />
' }<br />
<br />
.子程序 _取真实地址, 整数型<br />
.参数 子程序指针, 子程序指针<br />
.局部变量 返回值<br />
.局部变量 i, 整数型<br />
<br />
.变量循环首 (到整数 (子程序指针), 到整数 (子程序指针) ＋ 255, 1, i)<br />
    .如果真 (指针到字节集 (i, 1) ＝ { 232 })  ' E8 call<br />
        返回值 ＝ i ＋ 取字节集数据 (指针到字节集 (i ＋ 1, 4), #整数型, ) ＋ 5<br />
        跳出循环 ()<br />
    .如果真结束<br />
<br />
.变量循环尾 ()<br />
返回 (返回值)<br />
<br />
.子程序 _读字节集, 字节集<br />
.参数 内存地址, 整数型<br />
.参数 读取长度, 整数型<br />
.局部变量 变量, 字节集<br />
<br />
变量 ＝ 取空白字节集 (读取长度)<br />
置入代码 ({ 96, 139, 117, 8, 129, 254, 0, 0, 1, 0, 126, 27, 139, 93, 12, 139, 85, 252, 131, 194, 8, 191, 0, 0, 0, 0, 57, 251, 126, 9, 138, 4, 62, 136, 4, 58, 71, 235, 243, 97 })<br />
' pushad<br />
' mov esi,[ebp+0x8]<br />
' cmp esi,0x10000<br />
' jle Label1<br />
' mov ebx,[ebp+0xC]<br />
' mov edx,[ebp-0x4]<br />
' add edx,0x8<br />
' mov edi,0x0<br />
' Label3:<br />
' cmp ebx,edi<br />
' jle Label2<br />
' mov al,[esi+edi]<br />
' mov [edx+edi],al<br />
' inc edi<br />
' jmp Label3<br />
' Label2:<br />
' Label1:<br />
' popad<br />
返回 (变量)<br />
<br />
.子程序 _读整数型, 整数型<br />
.参数 Address, 整数型<br />
<br />
置入代码 ({ 139, 77, 8, 139, 1, 139, 229, 93, 194, 4, 0 })<br />
返回 (0)<br />
<br />
.子程序 _getSysCallAddr, 整数型<br />
.局部变量 a, 整数型<br />
<br />
a ＝ 0<br />
置入代码 ({ 100, 161, 192, 0, 0, 0 })<br />
' _asm:mov [ebp-0x4],eax<br />
返回 (a)<br />
<br />
.子程序 myOutPutDebugString<br />
.参数 str, 文本型<br />
<br />
OutputDebugString (“[msg] ” ＋ str)<br />
<br />
.子程序 _按钮1_被单击<br />
.局部变量 hThread, 整数型<br />
<br />
hThread ＝ OpenThread (#THREAD_ALL_ACCESS, #NULL, GetCurrentThreadId ())<br />
SuspendThread (hThread)<br />
CloseHandle (hThread)

补充内容 (2018-4-16 13:13):
52的也是我发的而已，不存在转载的问题