开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

楼主: 雨过天晴
收起左侧

[易源码分享] 利用VEH异常处理实现无限无痕HOOK(非硬断)

[复制链接]
 楼主| 发表于 2023-2-22 22:16:55 | 显示全部楼层   广西壮族自治区柳州市
凌哥 发表于 2023-2-22 20:08
我在你这个基础上想的方案也是没有修改目标数据,而是让目标页面变成“不可执行”的状态(也就是NewProtec ...

思路清奇,这招不错,顺便问下你有没有使用过这个方式,会不会出现疏漏或者个人电脑无效的情况?
我在内核修改的PET可读但不可执行,依旧会可以执行. 估计这个可读执行的异常的判断在更底层的内核代码,如果这个方法的保障性能百分百,我再翻翻内核看看能不能找出什么有意思的东西.
回复 支持 反对

使用道具 举报

结帖率:91% (10/11)

签到天数: 4 天

发表于 2023-2-22 21:31:31 | 显示全部楼层   河南省商丘市
凌哥 发表于 2023-2-22 20:08
我在你这个基础上想的方案也是没有修改目标数据,而是让目标页面变成“不可执行”的状态(也就是NewProtec ...

大佬啥时候开源出来呀
回复 支持 反对

使用道具 举报

结帖率:83% (39/47)

签到天数: 28 天

发表于 2023-2-22 20:08:58 | 显示全部楼层   福建省宁德市
雨过天晴 发表于 2023-2-22 15:49
原来你是说这个意思,但是我采用的是页面断,并没有修改到目标的数据,只是在他关键执行段设置了一个0x1000字 ...

我在你这个基础上想的方案也是没有修改目标数据,而是让目标页面变成“不可执行”的状态(也就是NewProtect参数换一个就行了);这样代码跑到指定内存的地方后就会引发异常,接下来就可以按你文章说的方式继续Hook了,并且因为原有的目标页面依旧是可读写的属性,所以自然就跳过了crc检测,利用的是数据执行保护来实现Hook,而不是内存"读取"时异常
回复 支持 反对

使用道具 举报

结帖率:83% (39/47)

签到天数: 28 天

发表于 2023-2-22 20:04:11 | 显示全部楼层   福建省宁德市
雨过天晴 发表于 2023-2-22 15:49
原来你是说这个意思,但是我采用的是页面断,并没有修改到目标的数据,只是在他关键执行段设置了一个0x1000字 ...

回复 支持 反对

使用道具 举报

 楼主| 发表于 2023-2-22 15:49:44 | 显示全部楼层   广西壮族自治区柳州市
凌哥 发表于 2023-2-22 08:09
你这篇文章用的是 EXCEPTION_ACCESS_VIOLATION = 内存读取的时候异常,所以过crc需要额外处理。

但是我 ...

原来你是说这个意思,但是我采用的是页面断,并没有修改到目标的数据,只是在他关键执行段设置了一个0x1000字节的不可方问的属性,所以才会全部触发到异常,可以让自己修改EIP, 不过你这个提示却让我解决了一个一直想不通的原因事情,我做HOOK很多时候为了避免别人在整数大小内存中发现这个区域喜欢使用只读写保护的堆内存来做回调,那么如果有人设置DEP保护,那就自然奔溃了.
回复 支持 反对

使用道具 举报

发表于 2023-2-22 09:27:37 | 显示全部楼层   广东省揭阳市
支持一下,学习看看~~~
回复 支持 反对

使用道具 举报

结帖率:44% (4/9)

签到天数: 14 天

发表于 2023-2-22 09:07:29 | 显示全部楼层   浙江省绍兴市
感谢分享!
回复 支持 反对

使用道具 举报

结帖率:0% (0/2)

签到天数: 24 天

发表于 2023-2-22 08:54:17 | 显示全部楼层   广西壮族自治区玉林市
谢谢分享!~
回复 支持 反对

使用道具 举报

签到天数: 20 天

发表于 2023-2-22 08:40:49 | 显示全部楼层   上海市上海市
666666666666666666666
回复 支持 反对

使用道具 举报

结帖率:83% (39/47)

签到天数: 28 天

发表于 2023-2-22 08:09:52 | 显示全部楼层   福建省宁德市
雨过天晴 发表于 2023-2-22 07:49
DEP 可防止从数据页(例如默认堆、堆栈和内存池)运行代码。 如果应用程序尝试从受保护的数据页运行代码, ...

你这篇文章用的是 EXCEPTION_ACCESS_VIOLATION = 内存读取的时候异常,所以过crc需要额外处理。

但是我们如果把这段内存的“执行权限”删掉,保留(读|写)权限,那就不需要额外处理crcl了;
setProcessDEPPolicy(1) 之后相当于自动开启了数据执行保护,避免某些系统有人手动关闭了这个功能导致失效。利用数据执行保护的异常就可以自然避开CRC检测了
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表