精易论坛

标题: 艹进别人的空间.无需DLL注入的HOOK其他进程函数 [打印本页]

作者: 第一页 时间: 2017-5-25 02:17
标题: 艹进别人的空间.无需DLL注入的HOOK其他进程函数
本帖最后由 ockdieso 于 2017-5-25 12:22 编辑

我看很多人对API HOOK的理解都是凋那个什么winhook
然后hook一下自己进程中的messagebox...
这TM有毛用啊你告诉我?嗯?有啥用?说!?你hook自己的函数干毛???
大部分用到hook的时候.都会选择写成DLL.
然后注入到其他进程里面去.
但是这方法太常见了.不够骚呀
所以我写了个花式的HOOK.往里面注shellcode

未HOOK前的代码

HOOK后

跳转过来.90+C3直接回去

正确返回.继续执行函数

被HOOK的程序就一句代码.出一个messagebox而已

开进程.取地址.分配内存.计算shellcode.读写jumpcode一气合成...
其实注释了一句.本来想玩一点更骚的代码...
无奈不太会用易语言写汇编.平常在VS13里面都是直接写内联汇编...最后放弃了
下面还有一个函数.代码比较少.把A跳到W版本函数去了

原本的提示

被我艹进去以后让他跳到了messagebox的W版本

喜闻乐见
我发现精易直接发源码.特别是新手看不懂的源码最容易加精.涨粉!所以直接上代码...
其实这是模块去死番外篇 HOOK的最后一章教程只不过还没开始动笔而已...
其原理也很简单.就是往里面填shellcode.仅此而已
关于番外篇教程大概有这么几章
inline hook
call push ret 花式inline hook
IAT hook
DLL注入hook其他进程
远程shellcode hook

反正是番外篇不用讲基础.怎么骚怎么来.怎么看起来比较拽.就怎么来
不过也考虑到基础问题.什么R3进R0搞内核ssdt等还是不讲了吧...那讲起来就是一本win驱动开发精解
如果你感兴趣.点我头像.然后点击收听,因为听众多看起来会很拽
听众越多.我更新教程更的越快
有能力的.自己读下代码.举一反三.只要shellcode进去了.想干什么都可以!当然也可以做一些跟hook没啥关系的事
看不懂的话使劲打赏精币催更
(冰点.如果你看到这段话....麻烦你去把我申请改名批了行不行...都三天了!)

对了.随手抄了3个精易模块的方法.不是写不出来,只是浪费时间而已.源代码没有模块.我也不喜欢用别人的模块
我这易语言版本是5.2.你们高版本打开应该没啥毛病

对了我忘记说了.代码用到了一些KnownDlls的特性,这也是今天问公司大牛们才知道的事
其次就是先跑那个带消息框的源码.然后手动开任务管理器查PID 然后修改openprocess最后一个参数
重新写一个太麻烦.调用以前写的DLL又太重量级.所以手动填PID!
--------------------------------------------------------------------------------------------------------------------
5-25中午更新:
这代码本来就是为了骚.为了花式
居然还有人跟我谈效率???毛病吧?
我只是提供个不一样的思路
这代码正可改HOOK
逆可改DLL注入
什么叫做"不就是直接写入shellcode改机器码么"
这TM本来就是这个思路改出来的东西
你这么吊.麻烦直接上github或者osc的代码OK?
或者你告诉我.为什么我没有去别人进程里面getaddr也能HOOK到messagebox?来,解释解释啊大佬.
接着跳呀@小明无敌

作者: y188808776 时间: 2017-5-25 02:26
这特码就尴尬了说的什么

作者: 这就是用户名 时间: 2017-5-25 02:39
看看源码怎么实现的

作者: liahuan00 时间: 2017-5-25 03:22
这是什么东西是源码还是什么

作者: 1735349202q 时间: 2017-5-25 06:12
e 233 支持

作者: happyweeks365 时间: 2017-5-25 06:44
嗯,正是我想要的..

作者: 自然卷。 时间: 2017-5-25 07:20
厉害了呢装作看不懂的样子,

作者: htqweszxc 时间: 2017-5-25 07:21
感谢分享感觉好强大啊

作者: 小小小Baby 时间: 2017-5-25 07:25
可以hook 64位进程么

作者: 牵羊逛街的狼 时间: 2017-5-25 07:36
不错。。。学习了

作者: 梦到醒不来的梦 时间: 2017-5-25 07:55
能用不？？？？？？？？？？？？？

作者: a413315014 时间: 2017-5-25 08:24
提示: 作者被禁止或删除内容自动屏蔽

作者: 郝单纯💋 时间: 2017-5-25 08:32
我是过来围观的

作者: sadasd22 时间: 2017-5-25 08:41
支持开源~！感谢分享

作者: lvsj575 时间: 2017-5-25 09:04
虽然看不懂，但是感觉好厉害

作者: 待删用户 时间: 2017-5-25 09:18

我发现精易直接发源码.特别是新手看不懂的源码最容易加精.涨粉!所以直接上代码... 这句话说得很对

作者: 五哥 时间: 2017-5-25 09:26

支持开源~！谢楼主

作者: 阿珏 时间: 2017-5-25 09:42
支持开源~！感谢分享

作者: DX小鑫 时间: 2017-5-25 09:47
虽然不用,但还是支持了!!

作者: 星辰Stranger 时间: 2017-5-25 09:47
我发现精易直接发源码.特别是新手看不懂的源码最容易加精.涨粉!所以直接上代码... 这句话66666

作者: 帝释天2017 时间: 2017-5-25 10:00
看看源码的

作者: 35618688 时间: 2017-5-25 10:01
我发现精易直接发源码.特别是新手看不懂的源码最容易加精.涨粉!所以直接上代码... 这句话说得很对

作者: 461387238 时间: 2017-5-25 10:17
我发现精易直接发源码.特别是新手看不懂的源码最容易加精.涨粉!所以直接上代码... 这句话66666

作者: kissmeoppop 时间: 2017-5-25 10:21
支持开源~！感谢分享

作者: qiuyingjia 时间: 2017-5-25 10:22
可以可以，这很骚

作者: azsxlian 时间: 2017-5-25 10:26
哈哈哈哈哈哈哈哈哈哈哈哈哈哈加精！

作者: rcoolboy 时间: 2017-5-25 10:31

就这个还能加这么多分。

作者: 第一页 时间: 2017-5-25 10:37

a413315014 发表于 2017-5-25 08:24
怎么没提到重定向

你说的哪一部分重定向?
如果是直接取函数地址那部分的话
详见:https://www.codeproject.com/Articles/325603/Injection-into-a-Process-Using-KnownDlls

作者: a413315014 时间: 2017-5-25 10:41
提示: 作者被禁止或删除内容自动屏蔽

作者: 609063131 时间: 2017-5-25 10:45
看看是什么

作者: 第一页 时间: 2017-5-25 10:55

小小小Baby 发表于 2017-5-25 07:25
可以hook 64位进程么

没测试
理论上不可能

作者: hljmake 时间: 2017-5-25 11:34
这个很给力不知道能不能弄得明白

作者: lxwan 时间: 2017-5-25 11:47
感谢分享，信手学习了~~

作者: 小明无敌 时间: 2017-5-25 12:40
网上一大堆的玩意也好意思拿来得瑟

作者: Narkylix 时间: 2017-5-25 12:43
配色很棒,能分享分享么?

作者: 小明无敌 时间: 2017-5-25 12:53
最简单的就是通过peb或者枚举模块取得模块句柄，然后加上偏移，偏移=取api地址-模块句柄（自身进程）

作者: 凛凛蝶的SS 时间: 2017-5-25 13:10
下载来看看嘻嘻

作者: 第一页 时间: 2017-5-25 13:12

沏曦发表于 2017-5-25 12:43
配色很棒,能分享分享么?

可以是可以但是我是5.2呀貌似不通用

作者: 第一页 时间: 2017-5-25 13:15

沏曦发表于 2017-5-25 12:43
配色很棒,能分享分享么?

"难道不是因为user32.dll里面函数地址在每个进程内存控件里面都是一样的吗? "
的确是一样.但是为什么一样.而又凭什么一样?
这其实是一个相当深入的问题.
参考文章:https://www.codeproject.com/Articles/325603/Injection-into-a-Process-Using-KnownDlls

作者: Narkylix 时间: 2017-5-25 13:31

ockdieso 发表于 2017-5-25 13:12
可以是可以但是我是5.2呀貌似不通用

我可以自行配,发粗来啊,谢辣.

作者: 情雅 时间: 2017-5-25 13:53
说得很多,看看

作者: 夏天大大 时间: 2017-5-25 13:58
谢谢分享，感恩有你~

作者: woxl 时间: 2017-5-25 14:36
看看花式HOOK

作者: woxl 时间: 2017-5-25 14:37
---------------------------
警告：
---------------------------
由于该源程序所使用的某些支持库不能被载入或者版本太低或者尚未购买其使用授权，导致所打开程序中的某些代码出错，这些地方均使用“<!!!>”特征文本标注在备注中，此改变对源程序文件数据没有任何影响。

如非确认，建议不要使用此改变后的源程序数据覆盖掉原先的源程序文件。

★ 不能载入支持库“辅Zhu调试支持库1.5版”，其文件名为“Krnlnex.fne”，数字签名为“{A00B8D30-A5AB-4dfe-9546-9E636E711B75}”，请确认易语言中是否安装了此支持库。
---------------------------
确定
---------------------------

作者: liuxin5163 时间: 2017-5-25 15:04
下载；谢谢分享；了

作者: GS小东 时间: 2017-5-25 15:10
看看，学习一下。。

作者: MY寂寞的夜 时间: 2017-5-25 16:04
我来看看

作者: 第一页 时间: 2017-5-25 16:08

woxl 发表于 2017-5-25 14:37
---------------------------
警告：
---------------------------

额去掉调试输出这句代码即可

作者: 第一页 时间: 2017-5-25 16:09

沏曦发表于 2017-5-25 13:31
我可以自行配,发粗来啊,谢辣.

加你Q了
ID :MOV RAX 214D

作者: 扣扣 时间: 2017-5-25 18:32
这东西找了好久勒,谢谢!!

作者: applek 时间: 2017-5-25 18:34

观光团到此一游

作者: 一尘天下 时间: 2017-5-25 20:16

看看，学习一下。

作者: 余淮 时间: 2017-5-25 20:59
感谢了楼主

作者: dljy 时间: 2017-5-25 21:29
感谢了楼主

作者: huan21ni 时间: 2017-5-25 22:57
进的什么空间？？

作者: 哒咩 时间: 2017-5-26 02:25
评审团来了~

作者: 镇坛道德标杆 时间: 2017-5-26 08:44
评审团来了

作者: 74596877 时间: 2017-5-26 08:52
支持一个！！！！

作者: InstallTest 时间: 2017-5-26 08:59
正是我想要的

作者: 第一页 时间: 2017-5-26 09:05

huan21ni 发表于 2017-5-25 22:57
进的什么空间？？

进程空间
详见:windows核心编程

作者: huan21ni 时间: 2017-5-26 10:24

ockdieso 发表于 2017-5-26 09:05
进程空间
详见:windows核心编程

哦哦哦学习学习

作者: cated 时间: 2017-5-26 11:18
66666666666666

作者: wanliudan 时间: 2017-5-26 13:54
提示: 作者被禁止或删除内容自动屏蔽

作者: hujia1126 时间: 2017-5-26 15:33
RE: 艹进别人的空间.无需DLL注入的HOOK其他进程函数 [[url=]修[/url]

作者: 牛X的孩子 时间: 2017-5-26 19:14

有的沙雕就是喜欢鸡蛋里面挑骨头，看淡点吧

作者: 第一页 时间: 2017-5-26 20:27

牛X的孩子发表于 2017-5-26 19:14
有的沙雕就是喜欢鸡蛋里面挑骨头，看淡点吧

深有体会呀

作者: 牛X的孩子 时间: 2017-5-26 22:06

ockdieso 发表于 2017-5-26 20:27
深有体会呀

因为我遇到过很多，你完全不必搭理他们，你越搭理喷子越起劲，最好的做法就是设高点权限，收点精币，回复什么的完全不用管

作者: 第一页 时间: 2017-5-26 22:18

牛X的孩子发表于 2017-5-26 22:06
因为我遇到过很多，你完全不必搭理他们，你越搭理喷子越起劲，最好的做法就是设高点权限，收点 ...

学到了哈哈哈看来我还是心境不够

作者: 网络注册会员 时间: 2017-5-27 01:52
看看是什么

作者: 半醉半醒花前坐 时间: 2017-5-27 09:37
感谢分享，学习一下

作者: 六升臣 时间: 2017-5-27 16:03
.麻烦你去把我申请改名批了行不行...都三天

作者: 风雨无情 时间: 2017-5-27 16:20
提示: 作者被禁止或删除内容自动屏蔽

作者: 孤妄哟 时间: 2017-5-27 17:04
66666666666666

作者: 黎峻哥哥 时间: 2017-5-27 17:11
1111111111111111

作者: 云南丿小海堂 时间: 2017-5-27 18:24
艹进别人的空间.无需DLL注入的HOOK其他进程函数

作者: ChenLight 时间: 2017-5-27 19:32
支持开源~！感谢分享

作者: 先锋小七 时间: 2017-5-27 20:08
看看高科技

作者: 不要叫我老公了 时间: 2017-5-27 20:09
6666很给力真的

作者: 先锋小七 时间: 2017-5-27 20:25
我有两个问题
一、易语言里，64位进程jump_code怎么算？

二、下面这段，为什么要加{233}，为什么jump_code要这样取？
jump_code ＝ { 233 } ＋到字节集 (到整数 (MessageBoxW_addr － MessageBoxA_addr － 5))

作者: 莫凡仔 时间: 2017-5-27 22:33
大佬带带我

作者: eeoooo 时间: 2017-5-28 04:54

USA 发表于 2017-5-27 20:25
我有两个问题
一、易语言里，64位进程jump_code怎么算？

JMP 到申请的内存地址

作者: 第一页 时间: 2017-5-28 11:31

USA 发表于 2017-5-27 20:25
我有两个问题
一、易语言里，64位进程jump_code怎么算？

233的HEX为E9
也就是JMP短跳
后面是在计算偏移
到时候教程写出来你就懂了

作者: fanchenyishi 时间: 2017-5-28 11:32
啦啦啦，我想要源码

作者: wl5211314 时间: 2017-5-28 13:52
看着不错，顶以下把

作者: ckxy2 时间: 2017-5-28 16:18
这TM看着确实很叼，不过有卵用，我又不会

作者: king122 时间: 2017-5-28 18:11
6666666666666666666

作者: 87650880 时间: 2017-5-28 19:23

啦啦啦，我想要源码

作者: 心若止水 时间: 2017-5-29 00:05
厉害了我的哥····

作者: 那就是风 时间: 2017-5-29 13:36
貌似很高端的样子

作者: yanshifei 时间: 2017-5-29 19:04
好牛逼的。。。。。

作者: Fucksociety 时间: 2017-5-29 21:41
好神奇，汇编

作者: 霸哥 时间: 2017-5-30 05:20
太牛逼了我成功的一句也没听懂

作者: shixiaoyu520 时间: 2017-5-30 11:34
66666666666666666666

作者: xgj520 时间: 2017-5-30 11:51
支持支持支持支持

作者: 依旧破晓 时间: 2017-5-31 01:17
快给我留条缝,我要围观大神们装逼...好刺激,好激动,然而什么都看不懂

作者: 江楠 时间: 2017-5-31 01:25
看一下

作者: hackasn 时间: 2017-5-31 11:47
看看怎么样

作者: 临风九笑 时间: 2017-5-31 19:45
看看还要恢复，那我就回复一下吧

作者: touchmoney 时间: 2017-5-31 22:49
看起来挺高大上啊

作者: 杨小明同学 时间: 2017-6-11 15:14
向大佬低头666

欢迎光临精易论坛 (https://125.confly.eu.org/)