写出病毒木马常用的hook技术以及大致实现。

[问答题]

查看答案及解析

牛客255279068号

INLINE HOOK 将需要hook的api函数入口部分代码修改为跳转代码，执行恶意程序，然后再跳转回去

IAT HOOK遍历可以执行程序的列表，并修改导入表的地址为要跳转的函数地址

消息hook机制，通过setwindowshook函数配合全局参数劫持windows下的消息传递，利用callnexthookex将消息进行下一步分发，可利用该技术进行.dll注入

SSDT hook 再内核层通过kServiceDescriptorTable内核导出变量来获取对应的ssdt表地址，接着查询需要hook的内核api索引，将ssdt表对应索引的函数地址改为需要跳转的函数地址。

发表于 2025-09-22 15:20:57 回复(0)

牛客887714931号

1.INLINE HOOK将需要的HOOK的api函数入口的部分代码修改为跳转代码，如将函数的序言代码push ebb;mov ebp,esp等代码修改为jmp hook_func的指令 2.IAT HOOK遍历可执行程序的导入表，并修改导入表的地址为跳转的函数地址。3.消息hook机制利用setwindowshook函数配合全局参数劫持windows下的消息传递，利用callnexthookex将消息进行下一步分发。通常该技术用来进行dll注入。4.SSDT hook在内核层上通过KeServiceDescriptor的索引，将ssdt表对应索引的函数地址改为需要跳转的函数地址

发表于 2022-03-01 14:53:02 回复(0)