使用API-HOOK修改IAT的地址

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量1k 收藏 1
点赞数
分类专栏: api-hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHkylin/article/details/47912741
版权
#include <windows.h>
#include <imagehlp.h>


#pragma comment(lib, "imagehlp.lib")


char *szModName = NULL;
char *szHacked = "my MessageBoxA!";
DWORD dwHookFun;
DWORD dwHookApiAddr;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
PIMAGE_THUNK_DATA32 pThunk;
ULONG uSize;


void MyHook()
{
__asm
{
mov esp, ebp
push szHacked
pop DWORD PTR[esp + 12]; //将szHacked的值赋给[esp+12]
pop ebp
jmp dwHookApiAddr
}
}


int main()
{
HMODULE hInstance = GetModuleHandle(NULL);
dwHookFun = (DWORD)MyHook;
dwHookApiAddr = (DWORD)GetProcAddress(LoadLibrary(TEXT("USER32.dll")), "MessageBoxA");


//通过函数ImageDirectroyEntryToData()获取IAT
pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(hInstance, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &uSize);

//找到要HOOK的函数所在的dll
while (pImportDesc->Name)
{
szModName = (char *)((PBYTE)hInstance + pImportDesc->Name);
if (strcmp(szModName, "USER32.dll") == 0)
{
break; 
}
pImportDesc++;
}


//获取指向THUNK数组的指针
pThunk = (PIMAGE_THUNK_DATA32)((PBYTE)hInstance + pImportDesc->FirstThunk);


for (; pThunk->u1.Function; pThunk++)
{
if (pThunk->u1.Function == dwHookApiAddr)

{

//VirtualProtect()函数的第四个参数必须填写,否则返回false。

DWORD dwOldProtect;
if (VirtualProtect(&pThunk->u1.Function, 4096, PAGE_READWRITE, &dwOldProtect))
{
pThunk->u1.Function = (PDWORD)dwHookFun;
break;
}
}
}


MessageBoxA(0, "original MessageBoxA", "test", 0);
return 0;

}


结果如下:


卡卡西。。。
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API-HOOK.rar_Hook windows api
09-24
4. **IAT(Import Address Table) Hook**:通过修改目标模块的导入地址,使得调用API时直接跳转到我们的钩子函数。这是本案例可能采用的方法,适用于静态链接的API。 5. **EAT(Export Address Table) Hook**:...
IAT Hook
Tandy12356_的博客
05-26 1815
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
深入IAT HOOK
无心的博客
07-13 2166
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入,在调用函数的时候,我们CALL的是导入地址的一个地址,为什么要调用这里,而且在构造导入的时候,导入名称(INT)和导入地址(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT的填写 在上一篇文章中,我们构造导入的时候,将 IAT 和 INT
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 656
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
IAT HOOK
azraelxuemo的博客
01-25 458
IAT Hook通过修改输入地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
IAT HOOK
weixin_44711063的博客
03-11 588
IAT HOOK IAT hook,通过把IAT中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT里面的函数地址修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
API-Hook.zip_api hook_hook_hook api_钩子
09-24
API Hook是一种技术,它允许程序员拦截和修改特定API(应用程序接口)调用的行为。这种技术在系统监控、调试、安全防护、性能分析等多个领域都有广泛应用。API Hook的基本原理是通过改变函数调用流程,使得原本要...
API-Hook.rar_api hook_hook_hook api_对api进行hook
09-20
- IAT(Import Address Table)Hook修改目标进程的导入地址,使函数调用指向你的Hook函数。 - VMT(Virtual Method Table)Hook:对于使用虚函数的类,可以替换类的VMT来Hook特定方法。 - Proxy Function:...
API-Hook-Open-Process.rar_HOOK openprocess_Process_hook api_hook
09-20
`APIHook_Demo.exe`可能是一个演示应用程序,展示了如何使用`Hook.dll`来Hook `OpenProcess`。它可能会模拟一个尝试打开其他进程的场景,以便用户可以看到Hook的效果。`APIHook_Demo`和`APIHook_DLL_Demo`可能分别是...
基于API-HOOK的数据文件透明加解密系统设计和实现
09-26
在Windows操作系统中,最常见的方法是修改IAT,将原本指向原始API地址替换为自定义的钩子函数地址。当程序调用这个API时,实际上是执行了我们设定的钩子函数,钩子函数在完成自定义操作后,再调用原始API,保证了...
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
HooKIAT_dll
07-03
修改IAT实现HOOK,windows应用程序捆绑核心编程一书中的源代码之一。
IAT HOOK教程.zip
09-25
IAT HOOK教程.zip
4.3 IAT Hook 挂钩技术
最新发布
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2402
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址
IAT hook实现 (修改pe中的导入实现hook)
&Ψ的博客
07-21 1397
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入,导入中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
C/C++ IAT HOOK MessageBoxW
CSDN
07-16 4860
IATHook(Import Address Table Hook)是一种用于修改函数导入的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入中的函数地址,实现对目标函数的劫持和重定向。
导入地址钩子IAT HOOK以及内联钩子INLINE HOOK
輚至消亡
07-06 1288
0x00 HOOK简介 HOOK技术是一种非常古老的技术。不管是Windows下的Hook还是Linux下的Hook都是一脉相承,变了外但实质都是一样的。Hook的意思是钩子,我们通过Hook可以改变进程的执行流程。一般HOOK技术与远程线程注入或者全局钩子来配合使用。前者使我们跳转我们想要执行的代码,后者可以隐藏我们的DLL。在这里我们会通篇进行介绍。 PS 每一篇我都会给一个实例,我觉得...
iconv-hook
08-12
在编码转换过程中,iconv-hook 可以用于拦截和修改转换操作。它提供了一种机制,允许用户自定义编码转换的行为。通过使用 iconv-hook,你可以实现自定义的字符编码转换逻辑,例如字符集转换、字符过滤或字符替换等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值