Windows API Hook

最新推荐文章于 2022-08-29 12:17:32 发布
转载 最新推荐文章于 2022-08-29 12:17:32 发布 · 611 阅读 · 0

本文详细阐述了如何使用DLL将自定义函数注入到目标进程,并通过HOOK技术修改系统函数的行为,包括DLL的加载、函数的调用与重定向、注入代码的编写以及测试过程。演示了一个简单的加法函数实例,通过鼠标钩子实现进程间DLL的自动加载,并展示了如何在DLL内部对系统函数进行拦截和重定向,以实现特定的功能增强。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理

       我们知道,系统函数都是以DLL封装起来的,应用程序应用到系统函数时,应首先把该DLL加载到当前的进程空间中,

调用的系统函数的入口地址,可以通过 GetProcAddress函数进行获取。当系统函数进行调用的时候,

首先把所必要的信息保存下来(包括参数和返回地址,等一些别的信息),然后就跳转到函数的入口地址,继续执行。

其实函数地址,就是系统函数“可执行代码”的开始地址。那么怎么才能让函数首先执行我们的函数呢?

呵呵,应该明白了吧,把开始的那段可执行代码替换为我们自己定制的一小段可执行代码,这样系统函数调用时,

不就按我们的意图乖乖行事了吗?其实,就这么简单。Very very简单。 :P

       实际的说,就可以修改系统函数入口的地方,让他调转到我们的函数的入口点就行了。

采用汇编代码就能简单的实现Jmp XXXX, 其中XXXX就是要跳转的相对地址。

我们的做法是:把系统函数的入口地方的内容替换为一条Jmp指令,目的就是跳到我们的函数进行执行。

而Jmp后面要求的是相对偏移,也就是我们的函数入口地址到系统函数入口地址之间的差异,再减去我们这条指令的大小。

用公式表达如下:(1)int nDelta = UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);(2)Jmp nDleta;

为了保持原程序的健壮性,我们的函数里做完必要的处理后,要回调原来的系统函数,然后返回。

所以调用原来系统函数之前必须先把原来修改的系统函数入口地方给恢复,否则,

系统函数地方被我们改成了Jmp XXXX就会又跳到我们的函数里,死循环了。
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
那么说一下程序执行的过程。
       我们的dll“注射”入被hook的进程 -> 保存系统函数入口处的代码 -> 替换掉进程中的系统函数入口指向我们的函数 -> 当系统函数被

调用,立即跳转到我们的函数 -> 我们函数进行处理 -> 恢复系统函数入口的代码 -> 调用原来的系统函数 -> 再修改系统函数入口指向

我们的函数(为了下次hook)-> 返回。于是,一次完整的Hook就完成了。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
        好,这个问题明白以后,讲一下下个问题,就是如何进行dll“注射”?即将我们的dll注射到要Hook的进程中去呢?

很简单哦,这里我们采用调用Windows提供给我们的一些现成的Hook来进行注射。举个例子,鼠标钩子,

键盘钩子大家都知道吧?我们可以给系统装一个鼠标钩子,然后所有响应到鼠标事件的进程,

就会“自动”(其实是系统处理了)载入我们的dll然后设置相应的钩子函数。其实我们的目的只是需要让被注射进程

载入我们的dll就可以了,我们可以再dll实例化的时候进行函数注射的,我们的这个鼠标钩子什么都不干的。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

简单的例子OneAddOne

      讲了上面的原理,现在我们应该实战一下了。先不要考虑windows系统那些繁杂的函数,

我们自己编写一个API函数来进行Hook与被Hook的练习吧,哈哈。

第一步,首先编写一个Add.dll,很简单,这个dll只输出一个API函数,就是add啦。
新建一个win32 dll工程,


dllmain.cpp的内容:

[cpp] view plain copy print ?
  1. //千万别忘记声明WINAPI,否则调用的时候回产生声明错误哦!   
  2. int WINAPI add(int a,int b)  
  3. {    
  4.     return a+b;  
  5. }  
  6.   
  7. BOOL APIENTRY DllMain( HANDLE hModule,   
  8.                       DWORD  ul_reason_for_call,   
  9.                       LPVOID lpReserved  
  10.                       )  
  11. {  
  12.     return TRUE;  
  13. }  
//千万别忘记声明WINAPI,否则调用的时候回产生声明错误哦!
int WINAPI add(int a,int b)
{  
	return a+b;
}

BOOL APIENTRY DllMain( HANDLE hModule, 
					  DWORD  ul_reason_for_call, 
					  LPVOID lpReserved
					  )
{
	return TRUE;
}
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

然后别忘了在add.def里面输出函数add:
LIBRARY  Add
DESCRIPTION "ADD LA"
EXPORTS
 add  @1;


建完工程后,你会发现没有Add.def文件,这时我们自己新建一个Add.def文件,然后添加到工程中即可,

添加Add.def文件到工程后,我们还需要设置工程的属性,将Add.def添加到【项目】-->【Add属性】-->

【链接器】-->【输入】-->【模块定义文件】,如下图所示,不这样设置的话,我们添加的Add.def文件是

不起作用的哦。


设置好后,编译,ok,我们获得了Add.dll

-----------------------------------------------------------------------------------------------------------------------------------------------------

得到Add.dll后,我们可以用一个小工具【dll函数查看器】来打开我们的Add.dll文件,如果函数导出成功的话,我们就可以

在里面看到导出的函数名字了,如下图所示:


该工具下载地址:http://download.csdn.net/detail/friendan/6347455       //dll函数查看器

----------------------------------------------------------------------------------------------------------------------------------------------------------

有了dll文件后,接下来我们新建一个MFC对话框程序来调用该dll中导出的函数add,

程序界面即运行效果截图如下:


主要代码如下:

[cpp] view plain copy print ?
  1. //调用dll函数 add(int a,int b)   
  2. void CCallAddDlg::OnBnClickedBtnCallAdd()  
  3. {  
  4.     HINSTANCE hAddDll=NULL;  
  5.     typedef int (WINAPI*AddProc)(int a,int b);//函数原型定义   
  6.     AddProc add;  
  7.     if (hAddDll==NULL)  
  8.     {  
  9.         hAddDll=::LoadLibrary(_T("Add.dll"));//加载dll   
  10.     }  
  11.     add=(AddProc)::GetProcAddress(hAddDll,"add");//获取函数add地址   
  12.   
  13.     int a=1;  
  14.     int b=2;  
  15.     int c=add(a,b);//调用函数   
  16.     CString tem;  
  17.     tem.Format(_T("%d+%d=%d"),a,b,c);  
  18.     AfxMessageBox(tem);  
  19. }  
//调用dll函数 add(int a,int b)
void CCallAddDlg::OnBnClickedBtnCallAdd()
{
	HINSTANCE hAddDll=NULL;
	typedef int (WINAPI*AddProc)(int a,int b);//函数原型定义
	AddProc add;
	if (hAddDll==NULL)
	{
		hAddDll=::LoadLibrary(_T("Add.dll"));//加载dll
	}
	add=(AddProc)::GetProcAddress(hAddDll,"add");//获取函数add地址

	int a=1;
	int b=2;
	int c=add(a,b);//调用函数
	CString tem;
	tem.Format(_T("%d+%d=%d"),a,b,c);
	AfxMessageBox(tem);
}

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

接下来我们进行HOOK,即HOOK我们的Add.dll文件中的函数int add(int a,int b)

新建一个MFC的 dll工程,工程名为Hook,然后我们在Hook.cpp文件里面编写代码如下:

首先在头部声明如下变量:

[cpp] view plain copy print ?
  1. //变量定义   
  2. //不同Instance共享的该变量   
  3. #pragma data_seg("SHARED")   
  4. static HHOOK  hhk=NULL; //鼠标钩子句柄   
  5. static HINSTANCE hinst=NULL; //本dll的实例句柄 (hook.dll)   
  6. #pragma data_seg()   
  7. #pragma comment(linker, "/section:SHARED,rws")   
  8. //以上的变量共享哦!   
  9.   
  10. CString temp; //用于显示错误的临时变量   
  11. bool bHook=false//是否Hook了函数   
  12. bool m_bInjected=false//是否对API进行了Hook   
  13. BYTE OldCode[5]; //老的系统API入口代码   
  14. BYTE NewCode[5]; //要跳转的API代码 (jmp xxxx)   
  15. typedef int (WINAPI*AddProc)(int a,int b);//add.dll中的add函数定义   
  16. AddProc add; //add.dll中的add函数   
  17. HANDLE hProcess=NULL; //所处进程的句柄   
  18. FARPROC pfadd;  //指向add函数的远指针   
  19. DWORD dwPid;  //所处进程ID   
  20. //end of 变量定义  
//变量定义
//不同Instance共享的该变量
#pragma data_seg("SHARED")
static HHOOK  hhk=NULL; //鼠标钩子句柄
static HINSTANCE hinst=NULL; //本dll的实例句柄 (hook.dll)
#pragma data_seg()
#pragma comment(linker, "/section:SHARED,rws")
//以上的变量共享哦!

CString temp; //用于显示错误的临时变量
bool bHook=false; //是否Hook了函数
bool m_bInjected=false; //是否对API进行了Hook
BYTE OldCode[5]; //老的系统API入口代码
BYTE NewCode[5]; //要跳转的API代码 (jmp xxxx)
typedef int (WINAPI*AddProc)(int a,int b);//add.dll中的add函数定义
AddProc add; //add.dll中的add函数
HANDLE hProcess=NULL; //所处进程的句柄
FARPROC pfadd;  //指向add函数的远指针
DWORD dwPid;  //所处进程ID
//end of 变量定义
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写鼠标钩子安装、卸载和处理函数:

[cpp] view plain copy print ?
  1. //鼠标钩子过程,什么也不做,目的是注入dll到程序中   
  2. LRESULT CALLBACK MouseProc(int nCode,WPARAM wParam,LPARAM lParam)  
  3. {  
  4.     return CallNextHookEx(hhk,nCode,wParam,lParam);  
  5. }  
  6.   
  7. //鼠标钩子安装函数:   
  8. BOOL InstallHook()  
  9. {  
  10.   
  11.     hhk=::SetWindowsHookEx(WH_MOUSE,MouseProc,hinst,0);  
  12.   
  13.     return true;  
  14. }  
  15.   
  16. //卸载鼠标钩子函数   
  17. void UninstallHook()  
  18. {  
  19.     ::UnhookWindowsHookEx(hhk);  
  20. }  
//鼠标钩子过程,什么也不做,目的是注入dll到程序中
LRESULT CALLBACK MouseProc(int nCode,WPARAM wParam,LPARAM lParam)
{
	return CallNextHookEx(hhk,nCode,wParam,lParam);
}

//鼠标钩子安装函数:
BOOL InstallHook()
{

	hhk=::SetWindowsHookEx(WH_MOUSE,MouseProc,hinst,0);

    return true;
}

//卸载鼠标钩子函数
void UninstallHook()
{
	::UnhookWindowsHookEx(hhk);
}

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

在dll实例化函数InitInstance()中,初始化变量和进行注入:

[cpp] view plain copy print ?
  1. //在dll实例化中获得一些参数   
  2. BOOL CHookApp::InitInstance()  
  3. {  
  4.     CWinApp::InitInstance();  
  5.   
  6.     //获得dll 实例,进程句柄   
  7.     hinst=::AfxGetInstanceHandle();  
  8.     DWORD dwPid=::GetCurrentProcessId();  
  9.     hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid);   
  10.     //调用注射函数   
  11.     Inject();  
  12.     return TRUE;  
  13. }  
//在dll实例化中获得一些参数
BOOL CHookApp::InitInstance()
{
	CWinApp::InitInstance();

	//获得dll 实例,进程句柄
	hinst=::AfxGetInstanceHandle();
	DWORD dwPid=::GetCurrentProcessId();
	hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid); 
	//调用注射函数
	Inject();
	return TRUE;
}

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写注射函数,即HOOK函数Inject()了:

[cpp] view plain copy print ?
  1. //好,最重要的HOOK函数:   
  2. void Inject()  
  3. {  
  4.   
  5.     if (m_bInjected==false)  
  6.     { //保证只调用1次   
  7.         m_bInjected=true;  
  8.   
  9.         //获取add.dll中的add()函数   
  10.         HMODULE hmod=::LoadLibrary(_T("Add.dll"));  
  11.         add=(AddProc)::GetProcAddress(hmod,"add");  
  12.         pfadd=(FARPROC)add;  
  13.   
  14.         if (pfadd==NULL)  
  15.         {  
  16.             AfxMessageBox(L"cannot locate add()");  
  17.         }  
  18.   
  19.         // 将add()中的入口代码保存入OldCode[]   
  20.         _asm   
  21.         {   
  22.             lea edi,OldCode   
  23.                 mov esi,pfadd   
  24.                 cld   
  25.                 movsd   
  26.                 movsb   
  27.         }  
  28.   
  29.         NewCode[0]=0xe9;//实际上0xe9就相当于jmp指令   
  30.         //获取Myadd()的相对地址   
  31.         _asm   
  32.         {   
  33.             lea eax,Myadd  
  34.                 mov ebx,pfadd   
  35.                 sub eax,ebx   
  36.                 sub eax,5   
  37.                 mov dword ptr [NewCode+1],eax   
  38.         }   
  39.         //填充完毕,现在NewCode[]里的指令相当于Jmp Myadd   
  40.         HookOn(); //可以开启钩子了   
  41.     }  
  42. }  
//好,最重要的HOOK函数:
void Inject()
{

	if (m_bInjected==false)
	{ //保证只调用1次
		m_bInjected=true;

		//获取add.dll中的add()函数
		HMODULE hmod=::LoadLibrary(_T("Add.dll"));
		add=(AddProc)::GetProcAddress(hmod,"add");
		pfadd=(FARPROC)add;

		if (pfadd==NULL)
		{
			AfxMessageBox(L"cannot locate add()");
		}

		// 将add()中的入口代码保存入OldCode[]
		_asm 
		{ 
			lea edi,OldCode 
				mov esi,pfadd 
				cld 
				movsd 
				movsb 
		}

		NewCode[0]=0xe9;//实际上0xe9就相当于jmp指令
		//获取Myadd()的相对地址
		_asm 
		{ 
			lea eax,Myadd
				mov ebx,pfadd 
				sub eax,ebx 
				sub eax,5 
				mov dword ptr [NewCode+1],eax 
		} 
		//填充完毕,现在NewCode[]里的指令相当于Jmp Myadd
		HookOn(); //可以开启钩子了
	}
}

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写HOOK开启和停止函数HookOn()和HookOff()

[cpp] view plain copy print ?
  1. //开启钩子的函数   
  2. void HookOn()   
  3. {   
  4.     ASSERT(hProcess!=NULL);  
  5.   
  6.     DWORD dwTemp=0;  
  7.     DWORD dwOldProtect;  
  8.   
  9.     //将内存保护模式改为可写,老模式保存入dwOldProtect   
  10.     VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect);   
  11.     //将所属进程中add()的前5个字节改为Jmp Myadd    
  12.     WriteProcessMemory(hProcess,pfadd,NewCode,5,0);  
  13.     //将内存保护模式改回为dwOldProtect   
  14.     VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp);  
  15.   
  16.     bHook=true;   
  17. }  
  18. //关闭钩子的函数   
  19. void HookOff()//将所属进程中add()的入口代码恢复   
  20. {   
  21.     ASSERT(hProcess!=NULL);  
  22.   
  23.     DWORD dwTemp=0;  
  24.     DWORD dwOldProtect;  
  25.   
  26.     VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect);   
  27.     WriteProcessMemory(hProcess,pfadd,OldCode,5,0);   
  28.     VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp);   
  29.     bHook=false;   
  30. }  
//开启钩子的函数
void HookOn() 
{ 
	ASSERT(hProcess!=NULL);

	DWORD dwTemp=0;
	DWORD dwOldProtect;

	//将内存保护模式改为可写,老模式保存入dwOldProtect
	VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect); 
	//将所属进程中add()的前5个字节改为Jmp Myadd 
	WriteProcessMemory(hProcess,pfadd,NewCode,5,0);
	//将内存保护模式改回为dwOldProtect
	VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp);

	bHook=true; 
}
//关闭钩子的函数
void HookOff()//将所属进程中add()的入口代码恢复
{ 
	ASSERT(hProcess!=NULL);

	DWORD dwTemp=0;
	DWORD dwOldProtect;

	VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect); 
	WriteProcessMemory(hProcess,pfadd,OldCode,5,0); 
	VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp); 
	bHook=false; 
}

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写我们自己的Myadd函数()

[cpp] view plain copy print ?
  1. //然后,写我们自己的Myadd()函数   
  2. int WINAPI Myadd(int a,int b)  
  3. {  
  4.     //截获了对add()的调用,我们给a,b都加1   
  5.     a=a+1;  
  6.     b=b+1;  
  7.   
  8.     HookOff();//关掉Myadd()钩子防止死循环   
  9.   
  10.     int ret;  
  11.     ret=add(a,b);  
  12.   
  13.     HookOn();//开启Myadd()钩子   
  14.   
  15.     return ret;  
  16. }  
//然后,写我们自己的Myadd()函数
int WINAPI Myadd(int a,int b)
{
	//截获了对add()的调用,我们给a,b都加1
	a=a+1;
	b=b+1;

	HookOff();//关掉Myadd()钩子防止死循环

	int ret;
	ret=add(a,b);

	HookOn();//开启Myadd()钩子

	return ret;
}
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

然后别忘记在hook.def里面导出我们的两个函数 :

InstallHook  
UninstallHook 


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

接下来就可以进行HOOK的测试了,给前面的对话框程序,再添加两个按钮,一个用于安装钩子,另一个用于卸载钩子,

程序和运行效果截图如下:


//未HOOK之前


//HOOK之后


-------------------------------------------------------------------------------------------------------------------------------------------------------------------

安装钩子和卸载钩子主要代码如下:

[cpp] view plain copy print ?
  1. HINSTANCE hinst=NULL;  
  2. //安装鼠标钩子,进行HOOK   
  3. void CCallAddDlg::OnBnClickedBtnStartHook()  
  4. {  
  5.     typedef BOOL (CALLBACK *inshook)(); //函数原型定义   
  6.     inshook insthook;  
  7.       
  8.     hinst=LoadLibrary(_T("Hook.dll"));//加载dll文件   
  9.     if(hinst==NULL)  
  10.     {  
  11.         AfxMessageBox(_T("no Hook.dll!"));  
  12.         return;  
  13.     }  
  14.     insthook=::GetProcAddress(hinst,"InstallHook");//获取函数地址   
  15.     if(insthook==NULL)  
  16.     {  
  17.         AfxMessageBox(_T("func not found!"));  
  18.         return;  
  19.     }  
  20.     insthook();//开始HOOK   
  21. }  
  22.   
  23. //卸载鼠标钩子,停止HOOK   
  24. void CCallAddDlg::OnBnClickedBtnStopHook()  
  25. {  
  26.     if (hinst==NULL)  
  27.     {  
  28.         return;  
  29.     }  
  30.     typedef BOOL (CALLBACK *UnhookProc)(); //函数原型定义   
  31.     UnhookProc UninstallHook;  
  32.   
  33.     UninstallHook=::GetProcAddress(hinst,"UninstallHook");//获取函数地址   
  34.     if(UninstallHook!=NULL)   
  35.     {  
  36.         UninstallHook();  
  37.     }  
  38.     if (hinst!=NULL)  
  39.     {  
  40.         ::FreeLibrary(hinst);  
  41.     }  
  42. }  
HINSTANCE hinst=NULL;
//安装鼠标钩子,进行HOOK
void CCallAddDlg::OnBnClickedBtnStartHook()
{
	typedef BOOL (CALLBACK *inshook)(); //函数原型定义
	inshook insthook;
	
	hinst=LoadLibrary(_T("Hook.dll"));//加载dll文件
	if(hinst==NULL)
	{
		AfxMessageBox(_T("no Hook.dll!"));
		return;
	}
	insthook=::GetProcAddress(hinst,"InstallHook");//获取函数地址
	if(insthook==NULL)
	{
		AfxMessageBox(_T("func not found!"));
		return;
	}
	insthook();//开始HOOK
}

//卸载鼠标钩子,停止HOOK
void CCallAddDlg::OnBnClickedBtnStopHook()
{
	if (hinst==NULL)
	{
		return;
	}
	typedef BOOL (CALLBACK *UnhookProc)(); //函数原型定义
	UnhookProc UninstallHook;

	UninstallHook=::GetProcAddress(hinst,"UninstallHook");//获取函数地址
	if(UninstallHook!=NULL) 
	{
		UninstallHook();
	}
	if (hinst!=NULL)
	{
		::FreeLibrary(hinst);
	}
}

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

以上就是之前我看的那篇文章的主要内容了,关于HOOK系统API,我会在其它的文章里面进行说明。

这里再说一下原文的缺点,我认为其有两个缺点:

1.停止HOOK时,没有恢复被HOOK函数的入口。

2.没有处理dll退出事件,没有在dll退出事件中恢复被HOOK函数入口。

以上两个缺点,很容易导致程序的崩溃,因此在我的例子程序中,都对它们进行了处理:

[cpp] view plain copy print ?
  1. //卸载鼠标钩子函数   
  2. void UninstallHook()  
  3. {  
  4.     if (hhk!=NULL)  
  5.     {  
  6.         ::UnhookWindowsHookEx(hhk);  
  7.     }  
  8.     HookOff();//记得恢复原函数入口   
  9. }  
  10.   
  11. //dll退出时   
  12. int CHookApp::ExitInstance()  
  13. {  
  14.     HookOff();//记得恢复原函数入口   
  15.     return CWinApp::ExitInstance();  
  16. }  
//卸载鼠标钩子函数
void UninstallHook()
{
	if (hhk!=NULL)
	{
		::UnhookWindowsHookEx(hhk);
	}
	HookOff();//记得恢复原函数入口
}

//dll退出时
int CHookApp::ExitInstance()
{
	HookOff();//记得恢复原函数入口
	return CWinApp::ExitInstance();
}

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

以上我这个例子工程的下载地址:hook dll文件中的函数add.zip

http://download.csdn.net/detail/friendan/6348209

友情提示:我在Debug模式运行程序时,HOOK会失败,在Release模式运行程序则HOOK成功。

zy531
关注
HOOK Windows API
flowwaterdog的博客
04-26 590
HOOK Windows API 只能HOOK 本地的API,适用于入门学习 HOOK API的一般步骤: 1.定义假API函数 假API函数,除了函数名称和真API不一样之外,其它的都要跟真API的定义相同,如参数类型和返回值、调用形式等。 int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType...
Windows API HOOK
Utopia的专栏
07-30 1068
HOOK技术是当前用于Windows API拦截的主要技术,许多应用程序的功能都以HOOK技术为基础核心技术进行扩展实现。 以屏幕取词为例,通过安装鼠标钩子,拦截TextOut()、ExtTextOut()等函数,当应用程序收到WM_PAINT消息后,正常系统函数被拦截,跳转至钩子函数完成取词翻译等工作。 Intel的CPU制定Ring0、Ring1、Ring2、Ring3四个特权级别,Window
windows api hook
reaL's Blog
04-26 1065
windows api hook
Windows API Hook钩子大揭密.zip
03-28
Windows操作系统中,API Hook是一种强大的技术,它允许开发者拦截并修改系统调用的过程,从而实现对应用程序行为的监控、调试或控制。"Windows API Hook钩子大揭密"这个主题深入探讨了这一核心技术,通过APISpion....
鼠标键盘全局钩子以及windows api hook代码
07-22
本主题将深入探讨鼠标键盘全局钩子和Windows API Hook的实现,以及如何使用VS2013进行相关开发。 首先,我们需要了解Windows API Hook的基本原理。API Hook是通过替换或插入函数调用来监控或修改特定API的调用行为...
Windows API HOOK框架实现技术探析
"Windows API HOOK通用框架的实现" Windows API HOOK是一种技术,它允许开发者在其他应用程序调用操作系统提供的API(应用程序编程接口)时进行干预。这种技术常用于调试、监控、性能优化以及安全控制等领域。论文...
Delphi7实现Windows APIHook示例教程
由于给出的文件标题为"windows apihook示例代码",可以推断代码示例将会展示如何在Windows平台上使用Delphi7来实现API Hook。描述中特别提到了Delphi7版本,表明这是一个较老的源代码示例,以及特别指出了它不支持...
WindowsHook API 技术
04-15
windows hook技术,讲解如何在系统调用API之前植入自己的代码,完成自己设计的相关功能,外挂,木马,侦听监测程序都用到该技术,此技术仅用于技术交流。
APIHook.rar_ Hook api_APIHOOK_api hook_c api hook_通用hook框架
09-24
API Hook通用框架的实现\ HookApi通用框架
Detours库Windows API Hook
南宫封清的博客
02-24 8636
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
Windows Hook Api
是我
12-14 430
今天在写Hook ws2_32 的函数send的时候,发现总是让程序崩溃, 崩溃的时候程序的崩溃点总是在ws2_32的模块中,最后发现在调用Hook函数时候,我进行了还原, 还原的保护代码是PAGE_READWRITE,这样子导致其他线程在执行对应的地址代码产生了一个执行错误的代码! 哎,太久没有使用逆向了,导致就生疏了! 具体原因是: VirtualProtect ( pOld
WindowsAPI Hook 技术
weixin_30298497的博客
01-16 384
1 前言 在Micrisoft Windows中, 每个进程都有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的自制空间的一个内存地址。进程不能创建一个指针来引用属于其他进程的内存。 独立的地址控件对开发人员和用户来说都是非常有利的。对开发人员来说,系统更有可能捕获错误的内存读\写。对用户而言, 操作系统变得更加健...
Windows API hooking.简单的C++例子
Meta.Qing的博客
08-29 796
API hook是一种技术,通过它我们可以测量和修改API调用的行为和流。许多反病毒解决方案也使用这种技术来检测代码是否为恶意代码。示例1在挂接windows API函数之前,我将考虑如何从DLL中导出函数。正如你所看到的,这个DLL有最简单的导出函数:Cat, Mouse, Frog, Bird和一个参数。正如您所看到的,这个函数的逻辑是最简单的,只是带有标题的弹出消息。...
Windows内核API HOOK 之 Inline Hook
oneVs1的专栏
10-14 2377
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。InlineHook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(InlineAssembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓APIHook,就是用自己写的
Windows Hook经验总结之一:API Hook方法汇总
ITer之家
11-17 5435
HOOK的目的是用我们自己的代码取代一些函数的代码以改变程序的行为。 静态HOOK:在进程运行前挂钩,采用用户级进程即可完成。比如:有些程序会在启动时需要原光盘,如果我们修改获取驱动类型的函数则可以从硬盘启动。 动态HOOK:挂钩系统进程(如服务)时要动态挂钩 本文介绍常见的hook方法和实现机制。
Windows中的Hook机制
Albert_weiku的博客
06-27 4579
windows中的Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值