API钩取技术

最新推荐文章于 2022-05-20 17:42:29 发布
最新推荐文章于 2022-05-20 17:42:29 发布
阅读量1.4k 收藏
点赞数
分类专栏: 二进制 文章标签: api 函数 调试 技术 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joliph/article/details/78524138
版权

DLL注入说完了下一章介绍了API钩取技术,这个技术运用范围更加广泛基本木马病毒都会用到这个。整理下这3天看的api hook相关方式。

1.调试器法:使用DebugActiveProcess函数以调试模式附加到相关进程,获取进程控制权。等待调试者发生时间,并在发生相关函数调用事件时调用处理函数。给api开始地址写上0xcc(int 3)断点,断下之后获取进程上下文,获取寄存器的值,在内存中跟随到寄存器的值(地址),修改相应的数值即可完成api hook(修改参数数值) p300

2.iAT HOOK:dll注入实现api修改,注入dll后获取dll中的你想注入的函数地址,函数调用GetModuleHandle(NULL)这个函数是再注入的dll内部运行的,但是获取的却是exe主程序的地址,这是关键。获取到exe程序地址后通过nt头找pe头,在通过pe头+0x80的长度找到输入表的开始地址,然后通过对各个函数结构体的遍历找到你想要注入的函数地址,修改它为你定义的api的地址。

3.5字节inline hook:call函数地址a,然后保存a的前5个内存数值,再修改为far jmp xxxxx跳转到我们写的api函数地址处调用,进入之后先还原5个数值防止死循环。这里的一个要注意的地方是jmp 跳转的不是绝对地址,而是你的函数地址和jmp指令之间的大小(不包括jmp的5个单位)。

7字节inline hook:第一句近跳到上面5个nop处,这5个nop处写入far jmp,然后short jmp占用2个单位,如果正好函数第一句正好是2个无意义的且上面有5个nop空间可以用既可使用这种方法,有点事不需要反复挂脱钩。

Istaroth
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hook API(挂钩API)技术
Ginvar的专栏
08-25 2621
Hook API,简单说,就是给API函数挂钩,将本应该调用的API函数拦截,使其转而调用我们自己的函数。这里,我主要介绍如何利用IAT挂钩来实现API拦截。 在我们启动目标程序时,操作系统负责为目标程序创建虚拟地址空间,并将这个可执行模块(就是目标程序)加载到地址空间中去,接下来,系统会将目标程序所需要的DLL文件映射到地址空间。我们将需要映射到地址空间的目标程序及所需DLL统称为模块(Mod
API钩挂技术详解222222
09-07
实现该类软件的一个方法就是使用API钩挂技术。当鼠标在屏幕上移动时系统会产生重画消息,相应的程序就会调用TextOut,DrawText等API函数重画屏幕,翻译软件使用自己的函数代替系统提供的重画函数,在屏幕重画前进行...
制作API钩子,截获API的例子
11-24
制作API钩子,截获API的例子Delphi
API钩取
qq_39249347的博客
08-25 588
代码逆向分析中,钩取是一种截取信息、更改程序执行流向、添加新功能的技术。 使用反汇编器/调试器把我程序的结构与工作原理。 开发需要的钩子代码,拥有修改Bug、改善程序功能。 灵活操作可执行文件与进程内存,设置钩子代码 钩取技术多种多样,其中钩取Win32 API技术被称为API钩取,它与消息钩取共同广泛应用于用户模式。 API API(Application Programming Interface,应用程序编程接口)。 Windows OS中,用户程序要使用系统资源(内存、文件、网络、视.
记事本writefile API钩取《逆向工程核心原理》
Hardworking666的博客
05-18 590
文章目录实验目的一、获取PID二、运行hookdbg.exe三、关闭notepad 钩取(Hooking)是一种更改程序流向,以获取程序运行时的信息或使程序具备新功能的技术API(Application Programming Interface,应用程序 编程 接口) PID(Process Identification)操作系统里指进程识别号,也就是进程标识符。 操作系统里每打开一个程序都会创建一个进程ID,即PID。 实验目的 示例钩取Notepad.exe的WriteFile() API,保存文
API钩子(IAT修改方式)
weixin_33935777的博客
05-23 519
在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转。 一、原理 PE结构的模块(exe/dll/...),有一个IAT表,保存着该模块使用到的API函数的地址,在默认的隐式API调用时,会先跳转到该IAT...
API钩挂技术
B_H_L的专栏
07-26 1746
l  什么是API钩挂技术API挂钩技术的目的就是:用自己的函数替换别人程序里的函数。当程序试图调用它原来应该使用的函数A的时候,我们将函数A替换成函数B,让程序调用B去进行我们想要的处理。 一个例子就是我们经常使用的屏幕取词软件,例如金山词霸和博雅等等。当鼠标指向一个英文或者中文单词的时候,就会在旁边给出相应的翻译。实现该类软件的一个方法就是使用API钩挂技术。当鼠标在屏幕上移动时系统会
钩子截获对API的调用.zip,还带一个屏幕取词的例子
01-02
总的来说,这个压缩包的内容涵盖了Windows编程中的核心概念——钩子和API调用,以及如何利用这些技术实现屏幕取词功能。对于学习系统级编程、Windows API使用以及软件调试的开发者来说,这是一个非常有价值的资源。...
VB.NET实现全局键盘鼠标钩子_屏幕取词.rar
04-01
标题中的“VB.NET实现...总的来说,这个项目涉及了VB.NET编程、Windows API调用、事件处理、全局钩子机制以及可能的图像处理和OCR技术。对于想要学习或扩展类似功能的开发者来说,这个项目提供了一个很好的学习资源。
API-HOOK.rar_api hook_hook api_hook 实现划词_屏幕取词_屏幕取词api
最新发布
09-20
总的来说,这个API_HOOK源码提供了一个了解和学习如何利用API Hook技术实现屏幕取词功能的实例,涵盖了Windows编程、Hook技术以及可能的NLP应用。对于想要深入理解Windows系统级编程和Hook机制的开发者来说,这是一...
ApiHook.rar_APIHOOK_屏幕取词_金山 hook
09-20
而屏幕取词则是API Hook技术在翻译软件中的一种具体应用,为用户提供了高效、便捷的学习和工作辅助。理解并掌握API Hook的原理和实践,对于提升软件开发能力,尤其是系统级编程和逆向工程方面,具有很高的价值。
WriteFile() API 钩取
weixin_30532369的博客
07-10 189
#include "windows.h" #include "stdio.h" LPVOID g_pfWriteFile = NULL; CREATE_PROCESS_DEBUG_INFO g_cpdi; BYTE g_chINT3 = 0xCC, g_chOrgByte = 0; BOOL OnCreateProcessDebugEvent(LPDEBUG_EVE...
《逆向工程核心原理》学习笔记(四):API钩取
闵行小鱼塘
05-20 2723
继续学习《逆向工程核心原理》,本篇笔记是第四部分:API钩取,主要介绍了调试钩取、DLL注入实现IAT钩取API代码修改钩取和全局API钩取等内容
api代理提取_提取API
Web 开发&软件开发
07-28 928
提取API 关于Web上AJAX的最保守的秘密之一是,它的底层API XMLHttpRequest并不是真正针对我们一直在使用的API。 我们已经很好地围绕XHR创建了优雅的API,但是我们知道我们可以做得更好。 我们努力做得更好的是fetch API。 让我们看一下新的window.fetch方法,该方法现在在Firefox和Chrome Canary中可用。 XMLHttpRequ...
灰帽子里面的pydbg代码
Yatere的天平秤
02-29 1253
这里除了代码,也放上几个自己写的有漏洞的exe程序方便大家调试,有漏洞的exe程序在: http://howfile.com/file/2611e8a1/8c414bff/ 程序功能只是每隔一秒标题数字加1,有了快照,那么数字可以还原到快照时刻 代码如下,注意修改程序路径,这里的程序是压缩包的 “快照测试.exe” from pydbg import * from
api代理提取_了解提取API
cumi7754的博客
07-20 739
api代理提取jshandbook.comjshandbook.com上获取我的电子书 Since IE5 was released in 1998, we’ve had the option to make asynchronous network calls in the browser using XMLHttpRequest (XHR). 自IE5于1998年发布以来,我们可以选择使用XM...
Windows消息钩取
m0_51713041的博客
04-06 894
简单的说,消息钩取就是半路截取信息。 一:Windows消息流 1、发生键盘输入事件时,WM_KEYDOWN消息被添加到[OS message queue]; 2、OS判断哪个应用程序中发生了事件,然后从[OS message queue]中取出消息,添加到相应应用程序的[application message queue]中; 3、应用程序监视自身的[application message queue],发现新添加的WM_KEYDOWN消息后,调用相应的事件处理程序处理。 二:消息钩..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值