Windows 两种 API 钩子技术比较

最新推荐文章于 2023-10-22 06:55:10 发布
最新推荐文章于 2023-10-22 06:55:10 发布
阅读量1.1k 收藏
点赞数
分类专栏: Windows 文章标签: windows api dll 微软 delay 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GenieWork/article/details/4639950
版权

最近研究了一下Windows 用户模式下 API 钩子的技术。主要研究了两种技术:一种是修改INT/IAT API入口地址的方式,一种是微软Detours的方式。

 

INT/IAT方式的优点:

1。实现相对简单,很直接。

2。自己实现后代码很精简,几十行就行了。

 

INT/IAT方式的缺点:

1。需要详细了解PE的结构及Windows Loader的工作过程。

2。有很多情况下,钩不住函数,因为钩子是通过修改INT/IAT实现的,如果调用时没有通过INT/IAT,就钩不上。我原本想钩住某个函数,但是该函数是被其自身dll内部调用的,没有通过INT/IAT,就钩不上。

3。需要详细了解INT/IAT的位置,想钩住的话,得知道是哪个模块的INT/IAT,如果是按照Ordinal导入的,还得查Ordinal,这个需要动态分析方面知识。如果钩时遍历整个进程的所有模块的INT/IAT,也比较麻烦。

4。另一种钩不住的情况是显式调用API ,就是LoadLibrary+GetProcAddress的方式,还是因为没有通过INT/IAT,所以钩不到。

5。有钩的顺序的问题,如果某个dll是延迟加载的,但你提前改了delay load 的IAT,然后才Load该dll,windows loader会覆盖入口地址,就失效了,这点也很麻烦。

 

Detours方式的优点:

1。因为是直接修改函数首指令,只要调用这个函数,没有钩不到的问题,无论调用方是怎么调用的,包括INT/IAT/间接/COM等等。

2。无需PE的背景知识,微软有帮助文档,看明白就会了。

 

Detours方式的缺点:

1。微软的专利产品,想商用的话得买授权。

2。64位的连试用版都没有,只能先买授权了。

3。会有一个附加dll,想取消的话得改代码。

4。代码多,造成结果exe/dll比较大。

GenieWork
关注
专栏目录
vc++ HOOK 技术 (API钩子)
07-13
VC++中的HOOK技术,尤其是API钩子,是Windows编程中的一种高级技巧,它允许程序员拦截系统函数调用,以便在调用前后执行自定义代码。API钩子系统层面上提供了一种强大的监控和调试手段,同时也能用于实现诸如键盘...
鼠标键盘全局钩子以及windows api hook代码
07-22
此外,不恰当的使用可能导致安全问题,因为恶意软件也可能利用钩子技术来监视用户行为。因此,在开发过程中要确保遵守相关的隐私和安全规定。 总之,Windows API Hook技术,特别是鼠标键盘全局钩子,为我们提供了一...
Windows API Hook钩子大揭密.zip
03-28
Windows API Hook钩子大揭密.zip
windows API 钩子
huhuapop的专栏
03-23 1986
<br />使用键盘钩子,调用Win API 函数SetWindowHock。在Hock函数里进行处理。但是,无法勾住Ctrl+Alt+Del。因为他是底层实现的,必须使用键盘驱动才可以实现。 示例代码: C# code /************************* //定义变量 public delegate int HookProc(int nCode, Int32 wParam, IntPtr lParam); static int hKeyboardHook = 0; Hook
WindowsAPI——使用Windows API中键盘、鼠标监控钩子
最新发布
10-22 2583
函数,该函数可以将一个热键与当前应用程序或线程绑定,使得当用户按下热键时,系统会自动将该热键的消息发送到该应用程序或线程中,该函数原型如下;消息发送给注册了该热键的窗口,应用程序需要重载该窗口的消息处理函数来响应该事件,从而实现相应的响应操作。函数,该函数用于从消息队列中获取一个消息并将其存储在一个结构体中,通常用于在一个循环中不断地获取消息,从而实现对。消息,并监控是否为我们所需要的即可,如下代码是一段注册热键的实现,分别注册了。函数可以对所有线程进行监控,包括其他进程中的线程,而。
HOOK API DLL 注入
淡蓝色的帆 -编程空间
04-16 3589
 一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是关于机器指令代码的(听上去真是有点恐怖,不过这是事实)。当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了
Windows钩子钩子函数简介
一面之媛
08-13 2162
WINDOWS钩子函数可以认为是WINDOWS的主要特性之一。利用它们,您可以捕捉您自己进程或其它进程发生的事件。通过“钩挂”,您可以给WINDOWS一个处理或过滤事件的回调函数,该函数也叫做“钩子函数”,当每次发生您感兴趣的事件时,WINDOWS都将调用该函数。一共有两种类型的钩子:局部的和远程的。   局部钩子仅钩挂您自己进程的事件。   远程的钩子还可以将钩挂其它进程发生的事件。远程的钩子又有两种:   基于线程的 它将捕获其它进程中某一特定线程的事件。简言之,就是可以用来观察其它进程中的某.
ApiHook钩子和封包拦截技术.zip
03-28
在IT行业中,APIHook(应用程序接口钩子)和封包拦截技术两种常见的系统级调试和监控手段,常用于软件开发、逆向工程以及安全分析等领域。这两种技术可以帮助开发者深入理解程序运行机制,查找和修复漏洞,或者...
apihook键盘钩子捕获键盘按键.zip
04-04
在本案例中,"apihook键盘钩子捕获键盘按键.zip"是一个包含两个文件(KeyHook、LaunchDLL)的压缩包,其核心目标是演示如何通过API Hook技术来捕获并记录用户在键盘上按下按键的事件。 首先,我们要理解API Hook的...
Api函数钩子
ml232528的专栏
07-21 971
windows 下,api钩子目前比较稳定和健壮的方法。 1、读取pe 文件:ImageDirectoryEntryToData 2、找到函数表中的 函数地址 (PROC *)&pThunk->u1.Function; 3、替换函数地址 WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew, sizeof(pfnNew), nul
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLLAPI时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
api 钩子函数
11-07
c#_调用api实现模拟键盘输入举例(向QQ对话框发送字符串)
国外牛人 API hook API 钩子 源码库
06-10
国外牛人 API hook API 钩子 源码库
9.2 Windows钩子
qq_36314864的博客
09-27 1272
9.2 Windows钩子
对于HOOK函数的一点认识 iBreathe(收藏)
whupyf的专栏
04-06 2632
一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是关于机器指令代码的(听上去真是有点恐怖,不过这是事实)。当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K
API钩子(IAT修改方式)
weixin_33935777的博客
05-23 521
Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转。 一、原理 PE结构的模块(exe/dll/...),有一个IAT表,保存着该模块使用到的API函数的地址,在默认的隐式API调用时,会先跳转到该IAT...
API钩取
fa1c4的blog
03-09 156
钩取流程 反汇编/调试器理清程序结构和工作原理 开发钩子代码, 修改/改进程序功能 操作可执行文件和进程内存, 设置钩子 机制 对于Windows OS, 用户程序需要使用资源时, 需向内核申请使用API. 具体则是通过DLL文件一层层向下调用, 最后通过SYSENTER进入内核模式. 示意图(notepad.exe打开一个文件的过程) API钩取 完全技术图表(摘自ReverseCore29章) 位置分类 IAT 修改IAT地址为钩取函数地址 EAT 修改EAT地址为钩取函数地址 Code 从内
API钩子的简要概述
kefeiyu的专栏
09-15 499
文章来源:http://www.microsoft.com/china/community/program/originalarticles/techdoc/hook.mspx http://www.100j.net/Article/Programme/Program/VCVB/200504/6373.html
Windows钩子编程:HOOKAPI基础与应用
"HOOKAPI入门篇,讲解Windows系统钩子技术的应用和常见类型,包括键盘、鼠标、外壳、日志及窗口过程钩子等。" Windows操作系统中的钩子(HOOKAPI)是一种强大的技术,它允许程序员拦截和处理系统中特定类型的事件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值