记事本writefile API钩取《逆向工程核心原理》

已于 2022-05-18 14:32:41 修改
阅读量593 收藏 4
点赞数 1
分类专栏: 逆向工程 文章标签: 逆向工程 逆向工程核心原理
于 2022-05-18 14:20:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hardworking666/article/details/124840263
版权

文章目录

钩取(Hooking)是一种更改程序流向,以获取程序运行时的信息或使程序具备新功能的技术。

API(Application Programming Interface,应用程序 编程 接口)

PID(Process Identification)操作系统里指进程识别号,也就是进程标识符
操作系统里每打开一个程序都会创建一个进程ID,即PID。

实验目的

示例钩取Notepad.exe的WriteFile() API,保存文件时操作输入参数,将小写字母全部转换为大写字母。

也就是说,在Notepad中保存文件内容时,其中输入的所有小写字母都会先被转换为大写字母,然后再保存。

一、获取PID

在这里插入图片描述
在任务管理器----》详细信息,里面也可以看到PID
在这里插入图片描述

二、运行hookdbg.exe

注意:
不要在输入完hookdbg.exe和PID后就按回车,等到最后保存完再按回车!

在这里插入图片描述

完成输入后,保存输入的文本内容。

保存文件后,notepad界面中不会有任何变化(请注意前面只是钩取了WriteFile() API)。

三、关闭notepad

关闭notepad,查看hookdbg程序的控制台窗口,如图所示。
在这里插入图片描述

四、IAT钩取–让计算器显示中文数字

API 钩取相关介绍

IAT钩取 之 让计算器显示中文数字

Hardworking666
关注
专栏目录
记事本:具有本地存储API的简单记事本
02-14
很抱歉,它很短,这是我能想到的全部... 记事本 欢迎! 这是我的记事本,打算成为所有笔记本中最简单的一个〜 APIAPI是整个记事本最重要的功能,它使您能够从外部获取,编辑,创建和删除(很快)笔记! 每个人都可以使用! 键盘快捷键 Ctrl + Enter-保存便笺,保存位置取决于您使用本地存储或API的天气 Ctrl + Shift + E-打开选项菜单
逆向工程核心原理读书笔记-API钩取记事本小写转大写
liujiayu2的专栏
06-09 780
我们通过一个示例来练习钩取Notepad.exe的WriteFile,保存文件时将小写字母全部转换为大写字母。下面我们先测试一下代码。 运行notepad.exe并查看PID。 在命令行窗口中输入命令与参数。 输入一串小写字母之后选择保存。 再次打开文件,之前的小写字母全部变成了大写字母。 我们来分析一下源代码,看看
WriteFile API简介
weixin_30763455的博客
04-30 207
VB声明 Declare Function WriteFile Lib "kernel32" Alias "WriteFile" (ByVal hFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToWrite As Long, lpNumberOfBytesWritten As Long, lpOverlapped As ...
WriteFile() API 钩取
S1lenc3的博客
07-10 127
#include "windows.h" #include "stdio.h" LPVOID g_pfWriteFile = NULL; CREATE_PROCESS_DEBUG_INFO g_cpdi; BYTE g_chINT3 = 0xCC, g_chOrgByte = 0; BOOL OnCreateProcessDebugEvent(LPDEBUG_EVE...
API钩取技术
笔记本
11-13 1439
DLL注入说完了下一章介绍了API钩取技术,这个技术运用范围更加广泛基本木马病毒都会用到这个。整理下这3天看的api hook相关方式。 1.调试器法:使用DebugActiveProcess函数以调试模式附加到相关进程,获取进程控制权。等待调试者发生时间,并在发生相关函数调用事件时调用处理函数。给api开始地址写上0xcc(int 3)断点,断下之后获取进程上下文,获取寄存器的值,在内存中跟随...
制作API钩子截获API的例子.rar_API_delphi API_delphi 钩子_截获api_钩子
09-23
在IT行业中,API(应用程序接口)是软件系统之间交互的核心,允许开发者利用预先定义好的功能进行编程。Delphi是一款强大的Windows应用开发环境,它支持低级别编程,包括API调用。"API钩子"是一种技术,允许我们监视...
VB如何拦截API调用.apihook钩子
03-28
1. **选择API函数**:确定要拦截的API函数,例如`WriteFile`或`CreateProcess`。 2. **编写钩子函数**:创建一个函数作为钩子回调,这个函数将在API调用时被触发。 3. **设置钩子**:使用API `SetWindowsHookEx` 或 ...
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
APIHook技术广泛应用于软件调试、安全分析、系统监控和逆向工程等领域。在这个特定的场景中,它可以用于安全审计,检测恶意软件对文件系统的异常访问,或者帮助开发者理解应用程序如何处理文件。 8. **实施步骤**...
Hook Api,hook ReadFile,hook WriteFile,hook LoadLibrary
09-02
本篇文章将深入探讨Hook API核心概念、主要应用场景以及如何实现对ReadFileWriteFile、LoadLibrary等关键API的挂钩。 首先,我们要理解什么是Hook API。在Windows操作系统中,Hook是一种机制,允许程序在其他...
钩子ApiHook教程示例代码.zip
03-28
下面我们将深入探讨API钩子的工作原理、常见方法以及在示例代码中的应用。 API钩子主要分为以下几种类型: 1. **系统级钩子(System Hooks)**:这类钩子在系统范围内起作用,可以监听整个系统中的事件。它们通常...
使用CreateFile,ReadFile,WriteFileAPI读写文件的简单类
04-16
simple and easy——API文件读写类 http://blog.csdn.net/dahual/archive/2011/04/16/6327998.aspx
基本的WriteFile()API钩取
qq_39249347的博客
08-26 526
技术借助调试钩取,所以能够进行与用户更具交互性的钩取操作,也就是说,这种技术会向用户提供简单的接口,使用户能够控制目标进程的运行,并且可以自由使用进程内存。 关于调试器的说明 术语 调试器:进行调试的程序。 被调试者:被调试的程序。 调试器的功能 调试器用来确认被调试器者是否正确运行,发现程序错误,调试器能够逐一执行被调试者的指令,拥有对寄存器与内存的所有访问权限。 调试器工作原理 调试进程经过注册后,每当被调试者发生调试事件时,OS就会暂停其运行,并向调试器报告相应事件,调试器.
第一课 记事本WriteFile API HOOK
xuenixiang.com
11-01 3464
前面一直在写dll hook技术的学习心得,但是现在又来写API hook的体会,很多人都不理解,为什么要学习API hook,dll hook已经那么强大,为什么还要把API hook单独拿出来学习?在我学习完这些内容之后,我深刻的认识到二者的差别,请听我说。 使用dll注入技术可以驱使目标进程强制加载用户指定的dll文件,使用该技术时,先在要注入的dll中创建hook代码和设置代码,然后在D...
【逆向】为记事本增加功能分析
此博客不更新很多年了,博客作废............
10-27 1068
参考:1、为记事本增加功能 2、逆向初步,增加XP记事本功能 3、编程扩展“记事本功能
计算器显示中文数字
qq_39249347的博客
08-26 2438
通过向计算器进程插入用户的DLL文件,钩取IAT的user32.SetWindowTextW() API地址,负责向计算器显示文本的SetWindowTextW() API钩取之后,计算器显示出的将是中文数字,而不是原来的阿拉伯数字。 只需先将要钩取API在用户的DLL中重定义,然后再注入目标进程即可,缺点是,如果想钩取API不在目标进程的IAT中,那么就无法使用该技术进行钩取操作,换言之,如果要钩取API是由程序代码动态加载DLL文件而使用的,那么我们将无法使用这项技术钩取它。 选定目标AP.
记事本WriteFile()API钩取
最新发布
weixin_51409218的博客
03-02 277
记事本WriteFile()API钩取
修改windows计算器使其中文显示数字
小小侠
11-24 1317
看到逆向工程核心原理上用钩子修改计算器使其显示中文,自己试着不用钩子做一个显示中文的计算器,把过程写出来跟大家分享一下。 一、环境准备 1、WINDOW_XP_SP3 2、OllyDbg 3、UltraEdit 4、VS2008 二、调试过程 利用OD很容易发现,calc使用SetWindowTextW显示,该函数有两个参数,第一个参数是窗口或者空间的句柄,第二个参数是指向字符串的指
Hook技术:通过Dll注入Hook IAT让计算器显示中文数字(附源码)
weixin_43742894的博客
05-09 2922
计算机的计算器是我们常用的一个小工具(小时候,总是计算机计算器分不开来,哈哈)。 众所周知,计算器在计算的过程中,显示的都是阿拉伯数字,因为阿拉伯数字是一个全世界通用的表示方法,那么如何让计算器显示中文数字"一、二、三......"呢? 这里我们就可以使用Dll注入去hook关键API实现**计算器显示中文数字**。
复写IAT劫持程序执行流(计算器显示中文数字)
九层台
11-08 684
结果:在计算器窗口中把本来应该显示的数字替换为中文 须知:计算器显示数据的时候需要调用user32.dll里面的SetWindowText() API 过程:在程序运行的时候会加载user32.dll到内存,这个时候会把IAT里面写入成函数的真正地址(具体见文章中图),这里自己写一个dll当dll被加载会修改user32.dll!SetWindowTextW对应的IAT值达到劫持程序执行流的目的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值