大家好,关于hook dll很多朋友都还不太明白,不过没关系,因为今天小编就来为大家分享关于od注入dll的知识点,相信应该可以解决大家的一些困惑和问题,如果碰巧可以解决您的问题,还望关注下本站哦,希望对各位有所帮助!
一、DLL注入后hook钩子未运行
好久不写SDK程序了。。都快忘光了,汗~~
1、在case DLL_PROCESS_ATTACH:前面再加句 case DLL_THREAD_ATTACH:
因为不一定是进程加载这个DLL,某个线程也一样。
2、你在主程序里是怎样调用的?是静态加载DLL,还是用LoadLibrary动态加载的?
3、你的Hook回调函数没有运行,也不排除第三方因素,现在WH_GETMESSAGE类型的钩子,很敏感,你应该知道,键盘记录器都是用这个实现的,很多杀软坑爹的主动防御都会拦截这个特征的程序;或是你要注入的那个程序,本身有反Hook机制,就是在系统中注册一个优先级更高的Hook,来拦截你的Hook,那就要先把它卸载掉。
最后,你要知道TX的程序员不是SB,他们就是靠这个吃饭的,会让你……
二、如何检测自己程序的api被hook了
这个程序的原版大家自己找,名字就叫做API拦截教程。启动该程序后,按下拦截createprocess的按钮后,运行任何程序都会弹出运行程序的路径。稍微了解apihook的都了解,通常ring3下hookapi的办法有三种,一是修改程序的iat表,使api调用跳向自己的函数而不是转向api入口。二是修改api入口的机器码。三是用创建远线程CreateRemoteThread的办法来完成。那么这个教程究竟用了什么先进手法呢?先运行一次,按下按钮后,果然explorer弹出了程序的路径。此时,你如果使用icesword类的可以查看程序模块的程序查看explorer的模块,你就会发现explorer里面多了个InterceptDll.dll的模块,当我们卸载了这个dll后,这个拦截的效果就没有了。看来这个程序的核心不是那个启动的程序,而是这个dll。现在让我们看看这个InterceptDll.dll到底做了什么。先使用VC++的工具DUMPBIN将DLL中的导出函数表导出到一定义(.DEF)文件 DUMPBIN InterceptDll.dll/EXPROTS/OUT:InterceptDll.def ordinal hint RVA name 1 0 00001230 InstallHook 2 1 00001270 UninstallHook只有两个导出函数,看名字就知道,一个是安装钩子,一个卸载钩子。我们调用看看,结果连参数都不用,只要调用InstallHook就可以把InterceptDll.dll插入explorer,用UninstallHook就可以卸载钩子。看来我们不用分析他的exe文件了,因为有用的东西就在这个dll里。那么如何分析这个dll这么工作的呢?直接用ida看静态代码,可以看见dll里有vivirtualalloc,setwindowshookexa等钩子函数。但是,里面乜嘢CreateRemoteThread这个函数,那么基本可以排除了第三种方法了。修改iat或者字节数的可能性比较大一些。那么具体究竟是用了什么手段,又是怎么实现的呢?光静态看源代码看出来,我可没那种本事。如果说要实时调试explorer又非常的麻烦,那么怎么办呢?其实办法很简单啦,只要自己修改一个exe文件名让他跟explorer同名就可以了。这家伙可不管你是真李逵还是假李鬼,统统都插!我先写了个很简单的exe程序,只有一个按钮直接掉用createprocess启动notepad的小程序,然后改名为explorer。运行后让程序拦截,果然再用icesword看模块,那个InterceptDll.dll偷偷的钻进了我写的这个程序。好,现在动手钻进InterceptDll.dll的内部,看看他到底干了什么!我用的是olldbg,其实windbg也可以,我用od习惯了。先附加到我自己写的这个小explorer程序,然后在createprocess下断点,按下启动notepad的按钮,断下以后,一步一步跟踪。转载仅供参考,版权属于原作者。祝你愉快,满意请采纳哦
三、为什么开机时出现没有找到Hook.dll
1、楼主装过灰鸽子远程控制软件吧?呵呵,那可是个危险的东西,你要彻底清除才行,否则留在你的电脑上很危险的,有后门,会被攻击,至于怎么清除,也不是很麻烦,你可以去百度上搜一下。
2、补充:看到楼主说没装过灰鸽子?那是否装过什么黑客软件?比如远程控制,或者端口扫描一类的?如果都没有,那就是你的机子成了肉鸡了,建议彻底查杀木马和病毒。
3、呵呵,hook.dll是直接进系统system文件夹下的,而且是隐藏起来自动运行,楼主说装过扫描器,那么现在只好去注册表里弄了,去删除和它相关的所有键值项。注册表的操作:
4、开始---运行---regedit---然后展开来找。如果还有问题,请留言。
5、再次补充:晕倒,不是让你在注册表里找hook.dll,那肯定是找不到的,是让你找当初装的可疑的软件,比如你说的那个端口扫描的,你也太不小心了,那些端口扫描之类的黑客软件其实大部分都捆绑了木马,那些人发布这些软件都是别有用心的。。。(当然有些报毒报木马是因为软件本身,而不是真的捆绑了木马,比如灰鸽子。。。)嗯,这样吧,你点开始---搜索---然后在C盘(主要是system32文件夹下)里搜hook.dll,找到后删除,最好用360文件粉碎机彻底粉碎和它相关的东西,那个端口扫描也不要再用了,楼主是不是想扫描人家的端口漏洞然后远程啊?哈哈哈。。。
6、果然让我猜中了,你就是想学“黑”啊,我以一个过来人的身份告诉你,学黑不是那么容易的,要付出代价,我曾经测试让自己做肉鸡上线,结果反被别人盯上了,彻底崩溃。。。学黑就要裸奔,什么杀软360统统不能开,怕中毒就走开。。。哈哈,你要是想学黑,就要有这种精神,不过也没那么严重,可以装虚拟机,那样会好很多。。。
四、请问hook.dll
1、这么简单的文件名,还是.dll文件,很可疑。
2、如果删除不了,下载Xuetr,打开,点上方的文件标签,进入D,找到那个文件-右键-查看锁定信息。如果锁定它的是系统进程,那么关闭查询窗口,选择病毒-右键-强制删除。可能会蓝屏,重启。
3、如果锁定它的是可疑进程,切换到进程标签,定位-选中那个进程-右键-强制结束并删除。
五、hook.dll的介绍
系统文件hook.dll是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是流氓软件篡改导致出现hook.dll丢失、缺失损坏等弹窗现象,否则不建议用户对该类文件(hook.dll)进行随意的修改。
OK,本文到此结束,希望对大家有所帮助。
