使用API-HOOK修改IAT的地址

最新推荐文章于 2025-06-07 15:41:49 发布
最新推荐文章于 2025-06-07 15:41:49 发布
阅读量1.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: api-hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHkylin/article/details/47912741
本文详细介绍了如何使用C++结合Windows API和ImageHLP库实现函数HOOK技术,通过修改函数调用路径来改变原有函数行为,具体以HOOK MessageBoxA函数为例进行演示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <windows.h>
#include <imagehlp.h>


#pragma comment(lib, "imagehlp.lib")


char *szModName = NULL;
char *szHacked = "my MessageBoxA!";
DWORD dwHookFun;
DWORD dwHookApiAddr;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
PIMAGE_THUNK_DATA32 pThunk;
ULONG uSize;


void MyHook()
{
__asm
{
mov esp, ebp
push szHacked
pop DWORD PTR[esp + 12]; //将szHacked的值赋给[esp+12]
pop ebp
jmp dwHookApiAddr
}
}


int main()
{
HMODULE hInstance =
最低0.47元/天 解锁文章

200万优质内容无限畅学
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 3035
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址
HOOK API修改IAT实现进程隐藏
tian028的博客
03-13 1150
1 .技术与实现 每个调用的 API 函数地址都保存在 IAT 中。 API 函数调用时,每个输入节( IMPORT SECTION )所指向的 IAT 结构如下图所示。 程序中每个调用API 函数的CALL指令所使用地址都是相应函数登记在IAT地址。所以为了截获API 函数,我们将IAT中的地址换成用户自己的API PROXY函数地址,这样每个API调用都是先调用用户自己的A...
修改IATHOOK API
mybirdsky的专栏
01-14 876
2007年08月16日 09:30:00 ////write by Gxter////本程序是用寻找并修改(Improt Address Table)的方法来实现HOOK一个API函数#include >windows.h#include >stdio.h#include >tchar.h#define UNICODE#define _UNICODEPIMAGE_DOS_HEADER
win32相关(IAT HOOK
最新发布
weixin_43754657的博客
06-07 312
如何编写IAT Hook
[DLL 劫持] 修改 IAT ,让程序启动时加载自己的 DLL
LYSM
11-27 1157
请转到以下链接食用 ???? ????:https://www.cnblogs.com/LyShark/p/13697577.html
API钩子(IAT修改方式)
weixin_33935777的博客
05-23 582
在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转。 一、原理 PE结构的模块(exe/dll/...),有一个IAT,保存着该模块使用到的API函数的地址,在默认的隐式API调用时,会先跳转到该IAT...
API-Hook-Open-Process.rar_HOOK openprocess_Process_hook api_hook
09-20
`APIHook_Demo.exe`可能是一个演示应用程序,展示了如何使用`Hook.dll`来Hook `OpenProcess`。它可能会模拟一个尝试打开其他进程的场景,以便用户可以看到Hook的效果。`APIHook_Demo`和`APIHook_DLL_Demo`可能分别是...
API-Hook.rar_api hook_hook_hook api_对api进行hook
09-20
- IAT(Import Address Table)Hook修改目标进程的导入地址,使函数调用指向你的Hook函数。 - VMT(Virtual Method Table)Hook:对于使用虚函数的类,可以替换类的VMT来Hook特定方法。 - Proxy Function:...
API-Hook.zip_api hook_hook_hook api_钩子
09-24
API Hook是一种技术,它允许程序员拦截和修改特定API(应用程序接口)调用的行为。这种技术在系统监控、调试、安全防护、性能分析等多个领域都有广泛应用。API Hook的基本原理是通过改变函数调用流程,使得原本要...
API-HOOK.rar_Hook windows api
09-24
4. **IAT(Import Address Table) Hook**:通过修改目标模块的导入地址,使得调用API时直接跳转到我们的钩子函数。这是本案例可能采用的方法,适用于静态链接的API。 5. **EAT(Export Address Table) Hook**:...
HOOKAPI修改IAT法则
lxslove的专栏
10-29 2060
HOOK是一种WINDOWS下存在很久的技术了。 HOOK一般分两种1。HOOK MESSAGE  2。HOOK API 本问讨论的是HOOK API修改IAT。(如果你是HOOK高手就不要看了) 在最初学HOOK-API的时候通常都是通过覆盖地址修改IAT的方法。通过这两种技术,我们基本都可以实现对本进程的API函数进行HOOK了。但是在高兴之余会有点遗憾,怎么才能HOOK其他进程的API
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
VC实现搜索IAT HOOK API
12-07 460
// //本程序是用寻找并修改(Improt Address Table)的方法来实现HOOK一个API函数 #include #include #include #define   UNICODE #define   _UNICODE PIMAGE_DOS_HEADER   pDosHeader; PIMAGE_NT_HEADERS   pNTHeade
IAT导入函数地址 | IT导入
VI___
10-18 2257
之前对 IAT 的理解一直比较模糊,现在通过一个简单脱壳来梳理一下。 一、场景 用到的两个素材如下,一个没壳,一个有UPX壳。 首先在Crackme中查看MessageBoxA函数的入口地址,不同系统不同版本可能地址不一样,这个程序在我电脑上运行正常,可能在别的电脑上就会出错,为了解决这个兼容问题,IAT(导入函数地址)就诞生了。 二、栗子 在OD中右键查看所有模块间...
手动确定IAT地址与大小
weixin_33725722的博客
07-08 249
from:[url]http://bbs.chinapyg.com/viewthread.php?tid=24623[/url] 当我们找到OEP后,用ImportREC的“IATAutoSearch”按钮,一般情况下ImportREC可以自动识别出IAT地址与大小。但如果不能自动识别,就必须手动确定IAT地址与大小,然后将IAT的RVA与Size填进ImportRE...
IAT Hook
Tandy12356_的博客
05-26 2313
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
IAT HOOK
FlowShell的专栏
07-31 2083
iat hook,也就是修改导入实现函数调用的hook(运行时hook本进程)。注:iat(import address table,导入函数地址,在这里说明一下:导入是image import table,导入函数地址是 image import address table,这是两个不同的pe文件中的)  要实现iat hook,首先得清楚iat和导入的结构。pe文件中,不管是在硬
API HOOK IAT技术深入解析与应用实例
API Hooking IAT(导入地址钩子)是API Hooking的一种实现方式,通过修改PE文件的IAT,将程序调用的API函数指向自定义的函数(钩子函数),从而改变程序的行为。这种方式的钩子通常对程序透明,即程序代码本身并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值