11 拦截API

于 2021-02-17 22:58:27 发布
阅读量366 收藏
点赞数
分类专栏: windows程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LIJIWEI0611/article/details/113835274
版权

原理

代码

导出地址表

Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成.其中导入地址表就指示函数实际地址。

 

testdll工程

target.h

#pragma once

extern "C"
{
	__declspec(dllexport) void __stdcall testme();
	__declspec(dllexport) int __stdcall testadd(int a, int b);
	__declspec(dllexport) void __stdcall testhello();
}

target.cpp 

#include "target.h"
#include <stdio.h>

void __stdcall testme()
{
	printf("\ntestme\n");
}

int __stdcall testadd(int a, int b)
{
	return a + b;
}

void __stdcall testhello()
{
	printf("\ntesthello\n");
}

 

demo

使用了

#include <stdio.h>
#include <Windows.h>
#include "target.h"

#pragma comment(lib, "testdll20180620.lib")

int main(void)
{
	testme();
	testadd(3, 5);
	testhello();
  /*
	HMODULE hModule = LoadLibrary(L"hookapi20180620.dll");
	FARPROC pfn = GetProcAddress(hModule, "hookapitest");
	int ret = pfn();
	if (ret == 0)
	{
		testme();
	}
	printf("ret = %d\n", ret);
	FreeLibrary(hModule);
	getchar();*/
	return 0;
}

生成,用dumpbin /imports 可执行文件查看IAT

使用dumpbin /all  可执行文件.exe  > 1.txt 在文件查看

    Section contains the following imports:

    testdll20180620.dll
                41A0E0 Import Address Table
                41A330 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

                    0 testadd
                    1 testhello
                    2 testme


                            入口点      函数实现

     777  HIGHLOW            0041A0E8  __imp__testme@0
     77D  HIGHLOW            0041A0E0  __imp__testadd@8
     783  HIGHLOW            0041A0E4  __imp__testhello@0

核心代码

    //获取指定模块hmodCaller导入地址表(IAT)的首导入模块
		pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToDataEx(
			hmodCaller, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize, NULL);

每一个dll都有一个IAT,上面的函数可以拿到一个镜像,里面是进程中所有模块的IAT

	for (; pImportDesc->Name; ++pImportDesc)
	{
		// 得到模块名pszModName(模块基地址 + 名称偏移)
		PSTR pszModName = (PSTR)((PBYTE)hmodCaller + pImportDesc->Name);

		printf("\n%s\n", pszModName);

		// 判断模块名是否为指定模块dll=>找到testdll.dll
		if (lstrcmpiA(pszModName, pszCalleeModName) == 0)
		{
			// 取得调用者导入函数地址表在模块中的函数地址(模块基址 + 偏移)
			PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)
				((PBYTE)hmodCaller + pImportDesc->FirstThunk);

			// 用新的函数地址替换当前函数地址 =>找到testme
			for (; pThunk->u1.Function; pThunk++)
			{

				// 取得函数地址
				PROC* ppfn = (PROC*)&pThunk->u1.Function;

				// 是否是需要替换的函数(比较函数地址)
				BOOL bFound = (*ppfn == pfnCurrent);
				if (bFound)
				{
					// 修改地址  mytestme() =》 testme
					if (!WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
						sizeof(pfnNew), NULL) && (ERROR_NOACCESS == GetLastError()))
					{
						// 如果失败,则更改页保护属性
						DWORD dwOldProtect;
						if (VirtualProtect(ppfn, sizeof(pfnNew), PAGE_WRITECOPY,
							&dwOldProtect))
						{

							WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
								sizeof(pfnNew), NULL);
							VirtualProtect(ppfn, sizeof(pfnNew), dwOldProtect,
								&dwOldProtect);
							return 0;
						}
						
					}
					else
					{
						return 0;
					}
					
				}
			}
			
		}
		
	}

以上代码便是找到testdll.dll中的testme并且替换为mytestme

 

正常执行的dll

target.h

#pragma once

extern "C"
{
	__declspec(dllexport) void __stdcall testme();
	__declspec(dllexport) int __stdcall testadd(int a, int b);
	__declspec(dllexport) void __stdcall testhello();
}

 

target.cpp

#include "target.h"
#include <stdio.h>

void __stdcall testme()
{
	printf("\ntestme\n");
}

int __stdcall testadd(int a, int b)
{
	return a + b;
}

void __stdcall testhello()
{
	printf("\ntesthello\n");
}

生成:

 

应用程序:

#include <stdio.h>
#include <Windows.h>
#include "target.h"

#pragma comment(lib, "testdll20180620.lib")

int main(void)
{
	testme();
	testadd(3, 5);
	testhello();

	HMODULE hModule = LoadLibrary(L"hookapi20180620.dll");
	FARPROC pfn = GetProcAddress(hModule, "hookapitest");
	int ret = pfn();
	if (ret == 0)
	{
		testme();
	}
	printf("ret = %d\n", ret);
	FreeLibrary(hModule);
	getchar();
	return 0;
}

拦截dll:

#pragma once

__declspec(dllexport)int __stdcall hookapitest();
#include <Windows.h>
#include <stdio.h>
#include <ImageHlp.h>
//#include "target.h"
#pragma comment(lib, "ImageHlp")

//#pragma comment(lib, "testdll20180620.lib")

LONG WINAPI InvalidReadExceptionFilter(PEXCEPTION_POINTERS pep);

//如在
int ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,
	PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller);

int mytestme()
{
	printf("\nmytestme\n");
	return 0;
}

int __stdcall hookapitest()
{
	//testme();
	PROC pfnNew = (PROC)mytestme;

	//HMODULE hModule1 = LoadLibrary(L"testdll20180620.dll");
	//HMODULE hModule2 = LoadLibrary(L"testiat.exe");
	PROC pfnOrig = GetProcAddress(GetModuleHandle(L"testdll20180620"), "testme");
	//PROC pfnOrig = GetProcAddress(hModule1, "testme");
	//PROC pfnOrig = GetProcAddress(GetModuleHandle(L"Kernel32"), "ExitProcess");
	//HMODULE hmodCaller = LoadLibrary(L"testiat.exe");
	HMODULE hmodCaller = GetModuleHandle(L"testiat.exe");//当前dll和exe在同一个地址空间中,属于同一个进程,因此可以获取
	
	return ReplaceIATEntryInOneMod(
		"testdll20180620.dll",
		pfnOrig,
		pfnNew,
		hmodCaller
	);
}


// 异常过滤函数
LONG WINAPI InvalidReadExceptionFilter(PEXCEPTION_POINTERS pep)
{
	LONG lDisposition = EXCEPTION_EXECUTE_HANDLER;
	return lDisposition;
}
/*
PCSTR pszCalleeModName   模块名
PROC pfnCurrent    当前函数名
PROC pfnNew     新函数名
HMODULE hmodCaller    可执行文件名

用pfnNew 去代替 hmodCaller中的pszCalleeModName模块中的fnCurrent函数名
*/
int ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,
	PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller)
{
	ULONG ulSize;

	// 一个异常可能被触发,因为诸如explorer.exe这样的进程能够快速地加载和卸载模块
	PIMAGE_IMPORT_DESCRIPTOR pImportDesc = NULL;
	__try
	{
    //获取指定模块hmodCaller导入地址表(IAT)的首导入模块
		pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToDataEx(
			hmodCaller, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize, NULL);
	}
	__except (InvalidReadExceptionFilter(GetExceptionInformation()))
	{
		printf("exception");
		return 1;
	}

	if (pImportDesc == NULL)
		return 2;

	// 在导入描述符中查找导入信息
	for (; pImportDesc->Name; ++pImportDesc)
	{
		// 得到模块名pszModName(模块基地址 + 名称偏移)
		PSTR pszModName = (PSTR)((PBYTE)hmodCaller + pImportDesc->Name);

		printf("\n%s\n", pszModName);

		// 判断模块名是否为指定模块dll
		if (lstrcmpiA(pszModName, pszCalleeModName) == 0)
		{
			// 取得调用者导入函数地址表在模块中的函数地址(模块基址 + 偏移)
			PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)
				((PBYTE)hmodCaller + pImportDesc->FirstThunk);

			// 用新的函数地址替换当前函数地址
			for (; pThunk->u1.Function; pThunk++)
			{

				// 取得函数地址
				PROC* ppfn = (PROC*)&pThunk->u1.Function;
        printf("%x- now:%x\n", *ppfn, pfnCurrent);
				// 是否是需要替换的函数(比较函数地址)
				BOOL bFound = (*ppfn == pfnCurrent);
				if (bFound)
				{
					// 修改地址  mytestme() =》 testme
					if (!WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
						sizeof(pfnNew), NULL) && (ERROR_NOACCESS == GetLastError()))
					{
						// 如果失败,则更改页保护属性
						DWORD dwOldProtect;
						if (VirtualProtect(ppfn, sizeof(pfnNew), PAGE_WRITECOPY,
							&dwOldProtect))
						{

							WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
								sizeof(pfnNew), NULL);
							VirtualProtect(ppfn, sizeof(pfnNew), dwOldProtect,
								&dwOldProtect);
							return 0;
						}
						
					}
					else
					{
						return 0;
					}
					
				}
			}
			
		}
		
	}

	//在for循环中始终没有进入到return 0的分支,就意味着没有找到对应的模块
	printf("\ncann't find target module\n");
	return 1;
}

 

远程注入+拦截api

正常情况下:

=》

当使用dllInject远程注入dll后:

=》首先弹出:=》=》

 

代码:

myapp:

核心:

1.加载dll_a.dll 
#pragma comment(lib, "dll_a.lib")

2
LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
    switch (message)
    {
    case WM_COMMAND:
        {
            int wmId = LOWORD(wParam);
            // Parse the menu selections:
            switch (wmId)
            {
            case IDM_ABOUT:
                DialogBox(hInst, MAKEINTRESOURCE(IDD_ABOUTBOX), hWnd, About);
                break;
            case IDM_EXIT:
				OutputMsg();
                break;
            default:
                return DefWindowProc(hWnd, message, wParam, lParam);
            }
        }
        break;
执行IDM_EXIT后,调用dll_a中的OutputMsg弹窗

dll_a

#pragma once

__declspec(dllexport) int __stdcall OutputMsg();
// dll_a.cpp : Defines the exported functions for the DLL application.
//

#include "stdafx.h"


int __stdcall OutputMsg()
{
	::MessageBox(NULL, L"DLL_A", L"DLL_A", MB_OK);
	return 0;
}

远程注入:

#include <Windows.h>
#include <stdio.h>
#include <TlHelp32.h>

DWORD FindTarget(LPCTSTR lpszProcess)
{
	DWORD dwRet = 0;
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(PROCESSENTRY32);
	Process32First(hSnapshot, &pe32);
	do
	{
		if (lstrcmpi(pe32.szExeFile, lpszProcess) == 0)
		{
			dwRet = pe32.th32ProcessID;
			break;
		}
	} while (Process32Next(hSnapshot, &pe32));
	CloseHandle(hSnapshot);
	return dwRet;
}

int main(void)
{
	DWORD dwProcessID = 0;
	printf("请输入目标进程的ID:");
	scanf_s("%d", &dwProcessID);

	//PROCESS_CREATE_THREAD表示我可以通过返回的进程句柄在该进程中创建新的线程,也就是调用CreateRemoteThread的权限;
	//PROCESS_VM_OPERATION则表示在该进程中分配/释放内存的权限,也就是调用VirtualAllocEx/VirtualFreeEx的权限;
	HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE, dwProcessID);

	// 向目标进程地址空间写入DLL名称
	DWORD dwSize, dwWritten;
	char lpszDll[] = "dll_b.dll";
	dwSize = lstrlenA(lpszDll) + 1;
	LPVOID lpBuf = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
	if (NULL == lpBuf)
	{
		CloseHandle(hProcess);
		// 失败处理
	}
	if (WriteProcessMemory(hProcess, lpBuf, (LPVOID)lpszDll, dwSize, &dwWritten))
	{
		// 要写入字节数与实际写入字节数不相等,仍属失败
		if (dwWritten != dwSize)
		{
			VirtualFreeEx(hProcess, lpBuf, dwSize, MEM_DECOMMIT);
			CloseHandle(hProcess);
			// 失败处理
		}
	}
	else
	{
		CloseHandle(hProcess);
		// 失败处理
	}
	// 使目标进程调用LoadLibrary,加载DLL
	DWORD dwID;
	LPVOID pFunc = LoadLibraryA;
	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
		(LPTHREAD_START_ROUTINE)pFunc, lpBuf, 0, &dwID);

	// 等待LoadLibrary加载完毕
	WaitForSingleObject(hThread, INFINITE);
	// 释放目标进程中申请的空间
	VirtualFreeEx(hProcess, lpBuf, dwSize, MEM_DECOMMIT);
	CloseHandle(hThread);
	CloseHandle(hProcess);
	printf("dll_b注入完毕!\n");
	getchar();
	return 0;
}

dll_b:

#pragma once

#include "stdafx.h"

__declspec(dllexport) int __stdcall OutputMsg_B();
// dll_b.cpp : Defines the exported functions for the DLL application.
//

#include "stdafx.h"
#include "dll_b.h"

int __stdcall OutputMsg_B()
{
	::MessageBox(NULL, L"DLL_B", L"DLL_B", MB_OK);
	return 0;
}
// dllmain.cpp : Defines the entry point for the DLL application.
#include "stdafx.h"
#include <stdio.h>
#include "dll_b.h"
#include <ImageHlp.h>
#pragma comment(lib, "ImageHlp")

LONG WINAPI InvalidReadExceptionFilter(PEXCEPTION_POINTERS pep);
int ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,
	PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller);

int hookapitest()
{
	OutputDebugString(L"hookapitest 1");
	PROC pfnNew = (PROC)OutputMsg_B;  //替换源,用OutputMsg_B替换掉进程空间中已经存在的函数
	OutputDebugString(L"hookapitest 2");
	PROC pfnOrig = GetProcAddress(GetModuleHandle(L"dll_a"), "OutputMsg"); //替换目标OutputMsg
	if (NULL == pfnOrig)
	{
		OutputDebugString(L"hookapitest 3");
		printf("get dll_a OutputMsg failed");
		getchar();
		return 1;
	}
	OutputDebugString(L"hookapitest 3");
	HMODULE hmodCaller = GetModuleHandle(L"MyAPP.exe");
	if (NULL == hmodCaller)
	{
		OutputDebugString(L"hookapitest 4");
		printf("get dll_a GetModuleHandle MyAPP.exe failed");
		getchar();
		return 1;
	}
	OutputDebugString(L"hookapitest 5");
	return ReplaceIATEntryInOneMod(
		"dll_a.dll",
		pfnOrig,
		pfnNew,
		hmodCaller
	);
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		::MessageBox(NULL, L"DLL_PROCESS_ATTACH DLL_B", L"DLL_PROCESS_ATTACH DLL_B", MB_OK);
		hookapitest();
		break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		::MessageBox(NULL, L"DLL_PROCESS_DETACH DLL_B", L"DLL_PROCESS_DETACH DLL_B", MB_OK);
		break;
	}
	return TRUE;
}

// 异常过滤函数
LONG WINAPI InvalidReadExceptionFilter(PEXCEPTION_POINTERS pep)
{
	LONG lDisposition = EXCEPTION_EXECUTE_HANDLER;
	return lDisposition;
}

int ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,
	PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller)
{
	ULONG ulSize;

	// 一个异常可能被触发,因为诸如explorer.exe这样的进程能够快速地加载和卸载模块
	PIMAGE_IMPORT_DESCRIPTOR pImportDesc = NULL;
	__try
	{
		pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToDataEx(
			hmodCaller, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize, NULL);
	}
	__except (InvalidReadExceptionFilter(GetExceptionInformation()))
	{
		printf("exception");
		return 1;
	}

	if (pImportDesc == NULL)
		return 2;

	// 在导入描述符中查找导入信息
	for (; pImportDesc->Name; ++pImportDesc)
	{
		// 得到模块名pszModName(模块基地址 + 名称偏移)
		PSTR pszModName = (PSTR)((PBYTE)hmodCaller + pImportDesc->Name);

		printf("\n%s\n", pszModName);

		// 判断模块名是否为指定模块
		if (lstrcmpiA(pszModName, pszCalleeModName) == 0)
		{
			// 取得调用者导入函数地址表在模块中的函数地址(模块基址 + 偏移)
			PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)
				((PBYTE)hmodCaller + pImportDesc->FirstThunk);

			// 用新的函数地址替换当前函数地址
			for (; pThunk->u1.Function; pThunk++)
			{

				// 取得函数地址
				PROC* ppfn = (PROC*)&pThunk->u1.Function;

				// 是否是需要替换的函数(比较函数地址)
				BOOL bFound = (*ppfn == pfnCurrent);
				if (bFound)
				{
					// 修改地址
					if (!WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
						sizeof(pfnNew), NULL) && (ERROR_NOACCESS == GetLastError()))
					{
						// 如果失败,则更改页保护属性
						DWORD dwOldProtect;
						if (VirtualProtect(ppfn, sizeof(pfnNew), PAGE_WRITECOPY,
							&dwOldProtect))
						{

							WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
								sizeof(pfnNew), NULL);
							VirtualProtect(ppfn, sizeof(pfnNew), dwOldProtect,
								&dwOldProtect);
							return 0;
						}

					}
					else
					{
						return 0;
					}

				}
			}

		}

	}

	//在for循环中始终没有进入到return 0的分支,就意味着没有找到对应的模块
	printf("\ncann't find target module\n");
	return 1;
}

 

~怎么回事啊~
关注
专栏目录
用户层下拦截系统api的原理与实现
默数悲伤
04-15 2098
  写这篇文章是为了复习一些知识,最近在做毕业设计,之中大量地使用了这种技术,主要是用在拦截winsock函数,对于其他系统api,其效果也是一样的.  拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要
API拦截 API拦截
03-18
API拦截 API拦截API拦截API拦截API拦截API拦截
拦截API
anyisoft的专栏
04-25 1332
上面说了,使用SOCK_RAW 截获报文受挫,因此考虑直接拦截通过send、recv 处理的数据。 总的说来,有3 种方法: 1,动态修改send、recv 开始的代码,跳转到自己写的处理函数中; 2,使用DetoursAPI; 3,修改IATEntry; 因为开始参考了  http://wenku.baidu.com/view/7f4928a30029bd64783e2c99.htm
一个API拦截的例子
sylar的个人主页
09-05 761
闲来无事,做一个API拦截的简单程序,目标是拦截exploer.exe的CreateProcess.当打开桌面程序时,执行自定义的代码。 首先需要确认的是,explorer.exe创建进程是用了什么函数,创建进程自然想到用CreateProcess(CreateProcessA,CreateProcessW). 这里我拦截的是CreateProcessW。 执行以下命令: dumpbin
API拦截 一个完整的例子 源码
01-04
一个完整的例子全局拦截API,十分强大,
VB如何拦截API调用.apihook钩子
03-28
在这个“VB如何拦截API调用.apihook钩子”的项目中,我们可以看到一系列的VB文件,它们共同实现了一个API Hook的示例。 1. **Module1.bas** 和 **Module2.bas**: 这两个模块可能包含了VB代码,用于实现API Hook的...
API函数拦截例子 skykernel.rar_API拦截_api 拦截_拦截 API_拦截sky
09-23
API函数拦截是一种技术,它允许开发者在程序运行时监控、修改或控制API调用的行为。这种技术在多种场景下都有应用,如调试、性能分析、安全检测以及插件开发等。下面将详细讲解API函数拦截的概念、实现方式及其应用...
API.rar_API拦截_api 拦截_拦截_拦截 API
09-24
一个实现API拦截的具体例子。欢迎大家 多提宝贵意见。
vc拦截Windows API调用 的源代码.api拦截
02-20
vc拦截Windows API调用 的源代码
易语言API网络拦截
07-20
易语言API网络拦截源码,API网络拦截,接收send网截,接收recv网截,安装send网截,安装recv网截,卸载网截,BeginHook,StopHook,InstallApiHook,子程序到整数,UninstallApiHook,GetApiHookInfo,拷贝文本,Recv,...
API的HOOK拦截
05-19
API的HOOK拦截实用型
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
用Labwindows/CVI写的用于解析dll库的导出函数和虚拟地址的小工具
API拦截(1)
三断笛
03-03 742
Ap i拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Ap i函数的拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件 的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入 符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法 ,虽然很古老,却很简单实用。     本文一介绍第二
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
API拦截教程
marrco2005的专栏
03-06 2969
对于程序员来讲,API拦截技术是一种重要的基础技术。这项技能为编写某些工具软件提供了可能,并可以大大提高我们对第三方应用程序的控制能力。不过,目前 API 拦截的技术资料往往局限于原理方面的论述,很少有文章涉及到如何具体地编译一个 API 拦截程序。我在寻找相关资料的时候,就走了不少弯路,如果当初有一份详细的资料,这些不必要的弯路是完全可以避免的。而这正是我编写这份技术资料的目的。要学习 AP
API拦截技术总结
zz_strive_2012的专栏
03-03 2110
自接触计算机技术以来,就听到和了解了API Hook的相关知识,但是总是浅尝辄止,深感惭愧。今日痛定思痛,决意走技术流派,努力学习,不求问答于诸侯,但求能养家糊口,聊以自慰。It is never to late to learn.         API拦截技术,顾名思义,其实就是拦截对某API的调用,拦截后改变程序流程,执行自己的代码,最后回归原调用函数的过程。         现有手段大
拦截API(修改函数地址方法)
ClassFree(自由魔方)的Blog
03-13 1944
#include #include #include #include #include #pragma comment(lib, "ImageHlp.lib")#define HookExceptionNo 5BOOL Init();BOOL SysVer = true;HMODULE g_hModule;DWORD dwIdOld, dwIdNew;//####################
RESTful API拦截
hongcaixia的博客
04-28 976
RESTful API拦截 场景:对RESTfulAPI作统一的处理,比如希望对所有的RESTfulAPI记录服务处理的时间。 一、过滤器Filter 可以拿到原始的http请求和响应的信息, 但是拿不到真正处理请求的那个方法的信息。 自定义TimeFilter: @Component public class TimeFilter implements Filter{ ...
实现拦截API的钩子(Hook)
bdmh的专栏
12-29 4661
道理不多讲,简单说就是将系统API的地址,替换为我们自己写的API的地址,所以要求我们自定义的API函数要和被拦截API有相同的参数。在用完后,记得恢复。因为要挂全局的钩子,所以Hook的部分,做成DLL。Hook.DLL主工程文件代码library Hook; uses SysUtils, Windows, Classes, ApiDefine in 'ApiDefine.pas', APIHook in 'APIHook.pas'; {$R *.res} v
api hook 拦截 复制
最新发布
08-04
通过拦截API调用,我们可以对这些操作进行监控、过滤或修改。 API Hook的实现通常需要编程技巧和相关知识。常用的方法有使用类似Detours的第三方库,或者直接修改目标程序的二进制代码。在进行API Hook时,需要注意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值