利用hook截获进程的API调用

最新推荐文章于 2021-03-18 12:17:11 发布
最新推荐文章于 2021-03-18 12:17:11 发布
阅读量2.5k 收藏 7
点赞数
文章标签: hook api user windows application null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Redspider/article/details/4329
版权

截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。
首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明如下:
HHOOK SetWindowsHookEx(
  int idHook,        // hook type
  HOOKPROC lpfn,     // hook procedure
  HINSTANCE hMod,    // handle to application instance
  DWORD dwThreadId   // thread identifier
);
具体的参数含义可以翻阅msdn,没有msdn可谓寸步难行。
这里Hook本身的功能并不重要,我们使用它的目的仅仅只是为了能够让Windows把我们的代码植入别的进程里去。hook Type我们任选一种即可,只要保证是目标程序肯定会调用到就行,这里我用的是WH_CALLWNDPROC。lpfn和hMod分别指向我们的钩子代码及其所在的dll,dwThreadId设为0,表示对所有系统内的线程都挂上这样一个hook,这样我们才能把代码放到别的进程里去。

之后,我们的代码就已经进入了系统内的所有进程空间了。必须注意的是,我们只需要截获我们所关心的目标程序的调用,因此还必须区分一下进程号。我们自己的钩子函数中,第一次运行将进行最重要的API重定向的工作。也就是通过将所需要截获的API的开头几个字节改为一个跳转指令,使其跳转到我们的API中来。这是最关键的部分。这里我想截三个调用,ws2_32.dll中的send和recv、user32.dll中的GetMessageA。

DWORD dwCurrentPID = 0;
HHOOK hOldHook = NULL;

最低0.47元/天 解锁文章
Redspider
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook.rar_钩子与API截获_Delphi_
08-12
HOOK 钩子 HOOK钩子 跑跑卡丁车木马代码.rar跑跑卡丁车木马代码.rar
Hook入门与抓包
最新发布
wei_java144的博客
01-19 1182
Frida 的 介 绍 是 “Frida 是 平 台 原 生 App 的“Greasemonkey”,专业一点来说就是一种动态插桩工具,可以插入一些代码到原生App的内存空间去动态地监视和修改其行为,这些原生平台可以是Windows、Mac、Linux、Android或者iOS,同时Frida还是开源的。
易语言网络封包拦截修改源码.rar
07-11
易语言网络封包拦截修改源码.rar
易语言编程-远程封包拦截与发送技术
热门推荐
hzw320的博客
10-16 1万+
我们前面学习了封包拦截的技术和发送技术,但都是用DLL的注入方式来进行拦截封包的 那么有没有一种可以不需要注入,就可以拦截到指定进程里的封包数据呢? 答案是肯定的:有的 独立团论坛的Game-EC模块的最新版本就加入了远程封包功能,但是要正确使用模块里的命令稳定运行,需模块授权使用 这个功能可以实现不需要写DLL注入到进程, 就可以进行拦截和获取指定进程的封包数据和套接字信息 非常方便便捷,远程封...
Windows Hook 易核心编程(4) API Hook 续 拦截API
ywbhnay的专栏
04-27 1862
在开始之前,让我们先来回顾一下: 什么叫Hook API?       所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控 制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正的系统API前可 以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲H
【干活】关于拦截封包的两个不同版本的recv函数
追逐光芒,追随内心
03-18 964
wsock32.dll 和 ws2_32.lib 里面都有 recv这个函数 功能是一样的,只是函数地址不一样,hook的时候要注意。二选一吧。 #pragma comment(lib,“wsock32.lib”) 或 #pragma comment(lib,“ws2_32.lib”) #include <windows.h> #include <tchar.h> #include <stdio.h> #include "detours.h" #pragma c
易语言-hook 拦截操作源码 纯源 APIHOOK
06-29
易语言杀软监控源码例程程序结合易语言通用对象支持库,调用API函数监控杀软。易语言杀软监控源码对学习HOOK有所帮助。 易学编程网
vc钩子hook 截获exe调用的任何函数.visual c++
02-20
本篇将详细讲解VC++中利用钩子来实现API拦截的技术,即如何通过Visual C++来截获一个EXE程序调用的任何函数。 首先,我们需要理解什么是钩子(Hook)。钩子是Windows操作系统提供的一种机制,允许开发者在系统事件...
易语言-APIHOOK拦截指定进程创建新进程
06-25
在易语言编程环境中,我们可以利用APIHOOK技术来实现对指定进程创建新进程的拦截。易语言,作为一款中国本土开发的编程语言,以其简单易学的语法特性,使得即使是初学者也能快速掌握API Hook的基本原理和应用。 API...
易语言封包截取源码,易语言HOOKapi实现封包截取
08-19
HOOKapi实现封包截取系统结构:dll,myrecv,mysend,HOOKON,HOOKOFF,发送文本,CallWindowProc_,SetWindowLong_,寻找顶级窗口_,MessageBox_,关闭内核对象_,创建文件映射对象_,MapViewOfFile_,UnmapViewOfFile_,打开文件映射
易语言web封包拦截
07-20
易语言web封包拦截源码,web封包拦截,排查无用封包,封包分析,拦截连接,拦截接收,拦截发送,加入列表,取指定内容,取当前时间,安装拦截,安装send,卸载send,安装recv,卸载recv,安装WSASend,卸载WSASend,安装WSARecv,卸载WSARecv,安装sendto,卸载sendto,安装recvfro
易语言-易语言通过HOOK进行IP转发/拦截
06-29
通过HOOK进行IP转发/拦截源码,源码调用了超级模块。
HookRecv 拦截输出
09-17
hookrecv拦截输出封包信息 不错的东西
Hook.zip_钩子与API截获_Visual_C++_
08-11
- **目的**:API截获通常用于监控或修改其他进程中的API调用行为,例如,检测某个应用程序是否调用了特定的API,或者改变API的返回值。 - **方法**:常见的API截获技术有动态地址截获(Dynamic Address Hooking)...
hook.rar_钩子与API截获_Visual_Basic_
08-12
2. **API截获**:要截获API调用,首先需要找到目标API的地址,这通常通过获取API函数在kernel32.dll或其他系统DLL中的地址完成。然后,可以使用VirtualProtect函数更改内存保护属性,允许写入,接着将API地址替换为...
详谈HOOK API的技术
skyremember的专栏
11-02 694
 详谈HOOK API的技术        上一帖     下一帖    查看完整版本页: [1] 麦克风http://www.51cto.com2006-4-6 03:05详谈HOOK API的技术HOOKAPI是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的AP
C# 通过Hook函数来监控进程内部的API调用
06-06
在C#中,可以使用第三方库如EasyHook来实现API Hook。下面是一个简单的示例代码: ```C# using System; using System.Runtime.InteropServices; using EasyHook; namespace HookDemo { class Program { [UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode, SetLastError = true)] public delegate int MessageBoxWDelegate(IntPtr hWnd, string lpText, string lpCaption, uint uType); static MessageBoxWDelegate MessageBoxWHook; static void Main(string[] args) { // 目标进程ID int targetProcessId = 1234; // 要Hook的函数名 string functionName = "MessageBoxW"; // Hook函数 LocalHook hook = LocalHook.Create( LocalHook.GetProcAddress("user32.dll", functionName), new MessageBoxWDelegate(MessageBoxWHook), null); // 启动Hook hook.ThreadACL.SetExclusiveACL(new int[] { 0 }); // 打开目标进程 // ... // 在目标进程调用MessageBoxW函数 // ... // 关闭目标进程 // ... // 卸载Hook hook.Dispose(); } static int MessageBoxWHook(IntPtr hWnd, string lpText, string lpCaption, uint uType) { // 在MessageBoxW函数执行前进行一些操作 Console.WriteLine("MessageBoxW called"); // 调用原始的MessageBoxW函数 return MessageBoxWHook(hWnd, lpText, lpCaption, uType); } } } ``` 在上面的代码中,通过EasyHook库实现了对MessageBoxW函数的Hook,当目标进程调用MessageBoxW函数时,会自动转而调用MessageBoxWHook函数,从而实现了对目标进程内部API调用的监控。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值