利用VEH异常处理实现无限无痕HOOK(非硬断)

ycsyywl · 发表于 2023-2-22 21:31:31

凌哥发表于 2023-2-22 20:08
我在你这个基础上想的方案也是没有修改目标数据，而是让目标页面变成“不可执行”的状态(也就是NewProtec ...

大佬啥时候开源出来呀

凌哥 · 发表于 2023-2-22 20:08:58

雨过天晴发表于 2023-2-22 15:49
原来你是说这个意思,但是我采用的是页面断,并没有修改到目标的数据,只是在他关键执行段设置了一个0x1000字 ...

我在你这个基础上想的方案也是没有修改目标数据，而是让目标页面变成“不可执行”的状态(也就是NewProtect参数换一个就行了)；这样代码跑到指定内存的地方后就会引发异常，接下来就可以按你文章说的方式继续Hook了，并且因为原有的目标页面依旧是可读写的属性，所以自然就跳过了crc检测，利用的是数据执行保护来实现Hook，而不是内存"读取"时异常

凌哥 · 发表于 2023-2-22 20:04:11

雨过天晴发表于 2023-2-22 15:49
原来你是说这个意思,但是我采用的是页面断,并没有修改到目标的数据,只是在他关键执行段设置了一个0x1000字 ...

嗯

雨过天晴 · 发表于 2023-2-22 15:49:44

凌哥发表于 2023-2-22 08:09
你这篇文章用的是 EXCEPTION_ACCESS_VIOLATION = 内存读取的时候异常，所以过crc需要额外处理。

但是我 ...

原来你是说这个意思,但是我采用的是页面断,并没有修改到目标的数据,只是在他关键执行段设置了一个0x1000字节的不可方问的属性,所以才会全部触发到异常,可以让自己修改EIP, 不过你这个提示却让我解决了一个一直想不通的原因事情,我做HOOK很多时候为了避免别人在整数大小内存中发现这个区域喜欢使用只读写保护的堆内存来做回调,那么如果有人设置DEP保护,那就自然奔溃了.

renjianhong48we · 发表于 2023-2-22 09:27:37

支持一下，学习看看~~~

shj0205 · 发表于 2023-2-22 09:07:29

感谢分享！

一指温柔 · 发表于 2023-2-22 08:54:17

谢谢分享!~

xiaoj88 · 发表于 2023-2-22 08:40:49

666666666666666666666

凌哥 · 发表于 2023-2-22 08:09:52

雨过天晴发表于 2023-2-22 07:49
DEP 可防止从数据页（例如默认堆、堆栈和内存池）运行代码。如果应用程序尝试从受保护的数据页运行代码， ...

你这篇文章用的是 EXCEPTION_ACCESS_VIOLATION = 内存读取的时候异常，所以过crc需要额外处理。

但是我们如果把这段内存的“执行权限”删掉，保留(读|写)权限，那就不需要额外处理crcl了；
setProcessDEPPolicy(1) 之后相当于自动开启了数据执行保护，避免某些系统有人手动关闭了这个功能导致失效。利用数据执行保护的异常就可以自然避开CRC检测了

雨过天晴 · 发表于 2023-2-22 07:49:08

凌哥发表于 2023-2-22 01:04
简称：软件断点

DEP 可防止从数据页（例如默认堆、堆栈和内存池）运行代码。如果应用程序尝试从受保护的数据页运行代码，则会发生内存访问冲突异常，并且未处理异常，则会终止调用进程。
DEP 不是针对所有攻击的全面防御：它旨在成为另一个可用于保护应用程序的工具

setProcessDEPPolicy 参数
0 如果 DEP 系统策略为 OptIn 或 OptOut，并且为进程启用了 DEP，则将 dwFlags 设置为 0 将禁用该进程的 DEP。
0x00000001 在当前进程中永久启用 DEP。通过设置 PROCESS_DEP_ENABLE为进程启用 DEP 后，无法在进程生命周期内禁用它。

这玩意不应该填0才对那么,HOOK回调不是申请的堆就是分页内存

		自动登录	找回密码
密码			注册

[易源码分享] 利用VEH异常处理实现无限无痕HOOK(非硬断)