陷阱式APIHook的原理及其在截取串口数据中的应用.ppt
《陷阱式APIHook的原理及其在截取串口数据中的应用.ppt》由会员分享,可在线阅读,更多相关《陷阱式APIHook的原理及其在截取串口数据中的应用.ppt(18页珍藏版)》请在三一文库上搜索。
1、基本原理 and 在截取串口数据中的应用 ,2019/8/19,1,2019/8/19,2,利用API Hook技术将我们的程序代码注入其他进程 修改系统中的ReadFile、WriteFile、CreateFile和CloseHandle函数,2019/8/19,3,1、Windows为了保护进程而不允许进程之间的访问。 2、使用API Hook 给目标进程设置一个特定消息Hook,在发生这种消息的时候就会自动调用Hook函数。 3、Hook函数只能存在与DLL中,因为只有DLL可以“大家一起用”。 4、当Hook函数被调用时,它所在的DLL也一起映射进入了目标进程。 5、如果我们在DLL中
2、修改了某些系统API,系统就会自动的调用我们自己定义的API,实现既定的功能。,2019/8/19,4,WinAPI WINMAIN() SetDIPSHook ,SetDIPSHook SetWindowsHookEx() , Call ReadFile; ,GetMsgProc() ,1,目标进程载入DLPSLIB.dll (寄生程序) 同时修改ReadFile跳转到NewReadFile,DLPSLIB.dll,DLPSLIB.dll,2,3,共享内存,6,SimpleDIP.exe,目标进程,设定要 将GetMsgProc() 注射进 目标进程,NewReadFile() ,SetDI
3、PSHook SetWindowsHookEx() ,GetMsgProc() ,NewReadFile() ,ReadFile() ,目标进程载入dll时,dll就已经成为其一部分了,4,5,思考:能直接跳转吗?,控制进程,截获的数据放在这里能够被任何进程访问,2019/8/19,5,只要两个函数的参数一样,即堆栈结构一样,就可以相互代替,jmp NewReadFile,ReadFile函数的修改和使用,修改ReadFile 将ReadFile的第一条指令修改为jmp &NewReadFile 使用ReadFile 将要写入文件的数据进行修改 将ReadFile的第一条指令还原 调用Read
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 陷阱 APIHook 原理 及其 截取 串口 数据 中的 应用
链接地址:https://www.31doc.com/p-3376666.html