班门弄斧一次VC++.NET 2008写的HOOK RECV代码

最新推荐文章于 2022-09-09 18:47:06 发布
最新推荐文章于 2022-09-09 18:47:06 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: hook

学习资料:

 

班门弄斧一次VC++.NET 2008写的HOOK RECV代码

 

确实是班门弄斧,因为我是学VB的,虽然VB6和.NET都算入门吧,可真正拿VC++写程序还是第一次。学B/C/D的就莫看了。

由于是用上两篇写的远线程调用,所以很多参数等等都是传入的,而不是直接获取的。

 

下面就一个用VB的人能理解为目标做简单说明和注释:

1、VC里面声明变量和VB不一样:类型在前,名称在后,例如:

BYTE B ;

等同于:

dim B as byte

VC用分号来识别行结束,而VB用回车;VB用圆括号表示数组,VC用方括号……不多说了,我也不是很清楚,总之习惯就好

2、VC里面的函数、变量等等区分大小写,VB不区分,这个一定要注意!

3、类型转换:VB有显式或隐式的,而VC必须用显式的——即时内存里面存的就是那个东东你也不能直接拿来用,够严格,不过指针够灵活也够太灵活……转换时使用的方法就是在圆括号里面写入你要的类型,后面跟着你的参数就可以。例如:

(DWORD)LEN;就是把LEN转换成DWORD类型,据我理解要么是UINTEGER,要么是INTEGER,可能不同API要求不同,我一直都是按INTEGER处理的,也就是说,前面那句相当于CTYPE(LEN,INTEGER)了。

4、&将会吧后面的变量变为指针,*将会把指针变成相应的数据……说的不确切,应该是转换吧

5、其他看看就知道了,VC用API、常数等根本不声明……而是导入.H文件吧(头文件,而且里面可以用宏来改变API书写的名称,就像VB声明API时那个别名吧),反正这个工程里没用到。

 

以上言论如有误导,请尽快指出………………以免造孽更深…………谢谢………………

 

 

//自定义APIHOOK结构

typedef struct

{

   FARPROC funcaddr;  //RECV函数所在地址

 BYTE   olddata[8];      //RECV函数开头的8个字节原始数据

 BYTE   newdata[8];    //我们要写入的数据,汇编代码在下面,利用了EAX存储要跳转的地址,并且FF E0这个操作是绝对地址的

}HOOKSTRUCT;

//0-4 : move eax 0x00000000 //绝对地址,避免了一个换算,其实这个换算也简单,ADDRESS-MFUNADDRESS-5即是

//5-7 : jmp eax

HWND _fHandle ;  //接收消息窗口句柄

DWORD _dwIdNew ;  //PID

HANDLE hProc;  //进程内核句柄,就是OPENPROCESS打开PID得到的那个东东——读写内存用到

DWORD _ws2_RecvIndex = 1 ;  //ws2_32.dll RECVHOOK标志,实际和HOOK没关系,但是当你HOOK的函数多起来,你得区分是哪个函数发来的消息啊!

HOOKSTRUCT _ws2_RecvHook; //ws2_32.dll HOOK结构

//这下面的这些家伙,就是一个定义,和下面写的函数实体一样声明即可,VB里不用这么干编译器也能识别都有哪些函数,可VC不成

int WINAPI m_ws2_recv(SOCKET s, char FAR*buf, int len, int flags);

void SendMsg(char *buf,DWORD len,DWORDIndex);

void HookOnOne(HOOKSTRUCT *hookfunc);

void HookOffOne(HOOKSTRUCT *hookfunc);

bool HOOKAPI(DWORD Address,HOOKSTRUCT*hookfunc,DWORD mFncAddress);

//下面传入了一些参数:被注入进程PID,要接收返回信息窗口的句柄

extern "C" _declspec(dllexport)void __stdcall Init(DWORD PID ,HWND FormHandle)

{

 AFX_MANAGE_STATE(AfxGetStaticModuleState());   //这个……VC里叫宏吧,哎……说来话长,这句去掉也无所谓的

 _dwIdNew = PID ;            //备份PID,其实后面代码没用到,主要是为了识别注入了多个程序的话,是哪个程序发回来的信息呢

 _fHandle = FormHandle ;  //接收消息的窗口句柄,SendMsg函数用到

 hProc = OpenProcess(PROCESS_ALL_ACCESS, 0,_dwIdNew);   //打开进程,进一步操作他

}

//下面这个用来:记录被HOOK函数前8字节原始数据、构建新的8字节代码、将新代码替换RECV函数原来代码的

//说明全部都是以RECV函数为例,其实这个函数是一个通用函数

bool HOOKAPI(DWORD Address,HOOKSTRUCT*hookfunc,DWORD mFncAddress)

{

 hookfunc->funcaddr = (FARPROC)Address;  //这个地方用了一个转换,把传入值转换成何结构当中声明的一样

   memcpy(hookfunc->olddata, hookfunc->funcaddr, 8); //记录RECV函数前8字节原始数据

 //下面开始构建汇编代码{0xB8,0x00, 0x00, 0x00, 0x00, 0xFF, 0xE0, 0x00 }

 hookfunc->newdata[0]=0xB8;   //MOVE EAX (EAX后面的数就是下面4字节了)

 hookfunc->newdata[1]=0x00;

 hookfunc->newdata[2]=0x00;

 hookfunc->newdata[3]=0x00;

 hookfunc->newdata[4]=0x00; //到这里是 MOVE EAX00000000 ,这里的地址,将会在下面被替换(注意是绝对地址)

 hookfunc->newdata[5]=0xFF;

 hookfunc->newdata[6]=0xE0;//到这里是 JMP EAX

 hookfunc->newdata[7]=0xCC;//填充一个INT3 ,其实NOP(&h90)啥的也行,换句话说这个不改、不理他都可以,不过翻看帖子时看到一些人说CPU识别错代码,谁知道真假,还是放个显眼的比较保险……

 memcpy(&hookfunc->newdata[1],&mFncAddress, 4);  //这里替换了上面提到的00000000 为我们用来代替RECV的函数的地址

 HookOnOne(hookfunc);  //将RECV函数前8字节替换为我们构建的代码——开始HOOK RECV

 returntrue;

}

 

 

//recv,这个函数将实现RECV函数的替换:只需执行一次即可

extern "C" _declspec(dllexport)bool __stdcall Hook_ws2_Recv(DWORD RecvAddress)

{

 AFX_MANAGE_STATE(AfxGetStaticModuleState());

 HOOKAPI(RecvAddress,&_ws2_RecvHook,(DWORD)m_ws2_recv);//这里,(DWORD)m_ws2_recv的返回值就是m_ws2_recv函数的地址!你看人家VC多方便……

   return true;

}

//显然了,这个事解除RECV HOOK的

extern "C" _declspec(dllexport)bool __stdcall UnHook_ws2_Recv()

{

 AFX_MANAGE_STATE(AfxGetStaticModuleState());

 HookOffOne(&_ws2_RecvHook);

   return true;

}

//---------------------------------------------------------------------------

//这个函数,就是我们用来替换RECV函数的家伙了,必须让这个家伙和RECV函数声明相同,这么相同呢,很简单,VC++.NET也有类似VB的代码提示(虽然少点),找一个适当的地方打上recv(小写)然后打圆括号……看到了?

int WINAPI m_ws2_recv(SOCKET s, char FAR*buf, int len, int flags)

{

   int nReturn = 0;  //这个家伙记录了RECV的返回值,-1为错误,我们不处理,0为断开,其他嘛,就是实际从SOCKET缓冲区复制了多少字节到RECV缓冲区。简单的说,-1,0都不处理,其他值就是我们要从BUF里面读多少字节了!

 HookOffOne(&_ws2_RecvHook); //先关闭HOOK,因为已经进入我们的函数了

   nReturn = recv(s, buf, len, flags); //先运行原来的RECV,否则我们不能得到或不能得到全部被复制的内容

 HookOnOne(&_ws2_RecvHook); //继续HOOK

 //sndmsg((DWORD)len,(DWORD)nReturn);

 if (nReturn == SOCKET_ERROR )

 return -1 ;

 

 SendMsg(buf ,nReturn,_ws2_RecvIndex); //发送BUF里面NRETURN个字节到接收窗体

 

   return(nReturn);

}

/

//WSARECV

 

/

//将原来的函数内容写回——关闭HOOK

void HookOffOne(HOOKSTRUCT *hookfunc)

{

 WriteProcessMemory(hProc,hookfunc->funcaddr, hookfunc->olddata, 8, 0);

}

//---------------------------------------------------------------------------

//将我们构建的代码写入——打开HOOK

void HookOnOne(HOOKSTRUCT *hookfunc)

{

 WriteProcessMemory(hProc,hookfunc->funcaddr, hookfunc->newdata, 8, 0);

}

//发送WM_COPYDATA消息到指定窗口

void SendMsg(char *buf,DWORD len,DWORDIndex)

{

         COPYDATASTRUCT cds;  

         cds.dwData = 0;//sizeof(COPYDATASTRUCT);    //有的说这个参数影响发送,还没用到,本来是存PID的,个人觉得应该不会影响

         cds.cbData = len;    //LPDATA里面的字节数

         cds.lpData = buf;   //实际数据

         SendMessage(_fHandle,WM_COPYDATA,(WPARAM)Index,(LPARAM)&cds);  //发到INIT里面指定的那个窗口

}

zbc_vc
关注
专栏目录
HookRecv 拦截输出
09-17
hookrecv拦截输出封包信息 不错的东西
hook send recv wsasend wsarecv 封包工具源码
02-16
hook send recv wsasend wsarecv 封包工具源码 本工具支持命令行操作,采用远程线程注入目标进程,注入后hook发包函数,实现封包拦截。 主程序为MFC编 动态链接库VC WIN32项目
recv函数_Hook函数pytest_addoption——定义自己的命令行参数
weixin_39528843的博客
12-06 377
自定义命令行参数是必用的功能,对一些测试环境的配置,比如你在测试中需要用SSH连接某台服务器, 那么就需要提供地址和用户名密码,当然你可以把这些信息在配置文件中,但这不得不额外维护一份表, 在一些场景中会显得不够灵活。好的方法则是直接通过命令行参数传递变量。pytest使用hook函数 pytest_addoption自定义命令行参数,被调用于初始化阶段,用法非常像Python的optpas...
hook socket send recv代码(zz)
weixin_34210740的博客
03-26 606
(zzfrom)http://hack.gameres.com/showthread.asp?threadid=3379 hook socket send recv代码(1) 最后更新:2005.07.17 本程序演示如何拦截一个程序对send、recv函数的调用, 并把send、recv函数的参数用 WM_COPYDATA 消息发送 到监视程序中。 附带演示如何拦截Di...
recv函数返回0_Hook函数pytest_runtest_protocol——让你在执行代码时获取用例的结果...
weixin_39980360的博客
12-07 222
很多时候,我们要在执行测试时就要对case的结果做些额外的处理,比如把测试结果上传某个测试管理系统(Testail, X-ray, etc), 又或者更重要的是在测试跑失败时抓取现场的环境。这个时候我们希望测试框架可以提供一个接口可以捕获case的run result,而不是在每个用例里去逻辑,pytest中hook函数pytest_runtest_protocol就可以满足你的需求。conft...
VC++的APIHook实例源代码
03-15
内容索引:VC/C++源码,系统相关,HOOK,钩子 VC++的APIHook实例源代码,大致翻了一下,只挂引入表的函数,注入有SetWindowHookEx和CreateRemoteThread两种方式,进程枚举也区分了不同系统下使用的psai和toolhelp,...
vc++ dll注入api hook.zip
02-28
在“vc++ dll注入api hook.zip”这个压缩包中,包含了实现这两种技术的相关源代码,如`apihijack.cpp`、`apihijack.h`以及测试程序`TestLauncher`和`TestDLL`。 首先,我们来理解DLL注入。DLL(动态链接库)注入是...
vc++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝_chorus和hook区别
12-26
利用API Hook截获CreateFile和CloseHandle达到加解密DOC文件和防拷贝的目的 visual c++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
这个压缩包文件"APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de"包含了一个使用Detours库来实现API Hook的例子,特别是针对Windows系统中的`recv`函数。下面我们将深入探讨API Hook、Detours库...
HOOK SEND RECV函数拦截网络封包的程序.rar
09-21
HOOK SEND RECV函数拦截网络封包的程序
vc++ HOOK 技术 (API钩子)
07-13
vc++ HOOK 技术 (API钩子)
Winsock-Hook:挂钩winsock send&recv以读取进程的所有流量
05-08
温索克胡克 挂钩winsock send&recv以读取进程的所有流量
C++Hook发包函数核心代码
09-03
C++Hook发包函数核心代码 游戏辅助专用 不得不学 杀猪的
hook WSARecv要注意的问题
冷风
07-27 6831
如果直接在hook的函数中直接调用原始地址的话完全没有问题:int WSAAPI hooked_WSARecv_ws232(SOCKET s,LPWSABUF lpBuffers,DWORD dwBufferCount,LPDWORD lpNumberOfBytesRecvd,LPDWORD lpFlags,LPWSAOVERLAPPED lpOverlapped,LPWSAOVERLAPPED_
DLL劫持三:inline hook JMP实例 (UDP recvfrom)
qffhq 点积
08-30 1567
核心代码从网上找的,但原始函数调用一直有问,经过分析 整理并测试成功。   DWORD OldProtect2; byte pData[10]; //保留原始函数的调用 FARPROC FunAddr; //生成新的函数调用 typedef int ( WINAPI RecvFromFN)( SOCKET s, char *buf, int len, int flags, sock
c语言hook作用,C++事件处理中的__hook与__unhook用法详解
weixin_35387135的博客
05-16 660
__hook__hook将处理程序方法与事件关联。语法long __hook(&SourceClass::EventMethod,source,&ReceiverClass::HandlerMethod[, receiver = this]);long __hook(interface,source);参数&SourceClass::EventMethod指向要将事件处理程...
监控HOOK WSARecv的回调函数
WER45Y的专栏
11-18 1709
 监控HOOK WSARecv的回调函数
C# Hook(注入)指定进程
bruce135lee的专栏
08-03 5767
C# Hook(注入)指定进程,实现进程间通讯/数据转发demo demo实现HOOK ws2_32.dll两个函数Send和Recv,然后转入自己程序进行处理.详解C#EasyHook使用例子.源码分两部分,一部分是C#,一部分C++,C++的部分实现DllMain入口,C#注入进程以后创建Remoteing启动本地. 是新手学习C#注入进程/C# Hook 指定进程/C# Hook Socke...
协程知识点总结
weixin_53492721的博客
09-09 473
以客户端与服务器连接时为例
hook一个拦截用户卸载应用的代码
最新发布
05-30
在Android中,应用程序被卸载时会触发一个ACTION_PACKAGE_REMOVED的广播,因此您可以使用hook代码来拦截和修改这个广播,以防止用户卸载您的应用程序。以下是一个使用Xposed框架编的示例hook代码: ```java import android.content.BroadcastReceiver; import android.content.Context; import android.content.Intent; import de.robv.android.xposed.XposedBridge; import de.robv.android.xposed.XposedHelpers; import de.robv.android.xposed.callbacks.XC_LoadPackage; public class UninstallBlocker implements IXposedHookLoadPackage { public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) throws Throwable { // 检查是否为系统应用程序 if ((lpparam.appInfo.flags & ApplicationInfo.FLAG_SYSTEM) == 0) { // 查找PackageManagerService类 Class<?> packageManagerServiceClass = XposedHelpers.findClass("com.android.server.pm.PackageManagerService", lpparam.classLoader); // 查找deletePackage方法 Method deletePackageMethod = XposedHelpers.findMethodExact(packageManagerServiceClass, "deletePackage", String.class, IPackageDeleteObserver.class, int.class, int.class); // 创建一个新的IPackageDeleteObserver对象,用于拦截卸载广播 Object packageDeleteObserver = XposedHelpers.callStaticMethod(XposedHelpers.findClass("android.content.pm.IPackageDeleteObserver$Stub", null), "asInterface", new Object[]{null}); // 创建一个新的BroadcastReceiver对象,用于拦截卸载广播 BroadcastReceiver uninstallReceiver = new BroadcastReceiver() { @Override public void onReceive(Context context, Intent intent) { // 阻止广播传递给其他接收器 abortBroadcast(); // 显示一个Toast消息,告诉用户应用程序不能被卸载 Toast.makeText(context, "该应用程序不能被卸载", Toast.LENGTH_SHORT).show(); } }; // 注册拦截卸载广播的BroadcastReceiver IntentFilter uninstallFilter = new IntentFilter(Intent.ACTION_PACKAGE_REMOVED); uninstallFilter.addDataScheme("package"); XposedHelpers.findAndHookMethod(packageManagerServiceClass, "deletePackage", String.class, IPackageDeleteObserver.class, int.class, int.class, new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { // 拦截广播 Intent uninstallIntent = new Intent(Intent.ACTION_PACKAGE_REMOVED); uninstallIntent.setData(Uri.parse("package:" + (String) param.args[0])); uninstallReceiver.onReceive((Context) param.thisObject, uninstallIntent); // 取消卸载操作 XposedBridge.invokeOriginalMethod(deletePackageMethod, param.thisObject, param.args); } }); } } } ``` 这个示例代码使用Xposed框架来拦截卸载广播,并显示一个Toast消息,告诉用户应用程序不能被卸载。请注意,这个示例代码只是为了演示如何使用hook代码拦截卸载广播,实际上阻止用户卸载应用程序可能会违反用户隐私和安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值