《Windows核心编程》之“API Hooking”(一)

最新推荐文章于 2024-06-22 16:45:39 发布
最新推荐文章于 2024-06-22 16:45:39 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: Windows操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sagittarius_Warrior/article/details/52228240
版权
本文深入探讨了《Windows核心编程》中的API Hooking技术,包括两种方法:代码覆盖和修改导入段。API Hooking用于拦截API调用,扩展其功能,如资源清理。文中介绍了导入段和导出段的概念,以及如何通过修改导入段实现API Hooking,详细解析了运行时调用过程和IAT的填充机制。
摘要由CSDN通过智能技术生成

    《Windows核心编程》中介绍了两种API Hooking的方法 —— “Overwritting Code”(代码覆盖)和“API Hooking by Manipulating a Module's Import Section”(修改导入段)。本文在以学习这两种API Hooking为目的,介绍相关的内容,包括:API Hooking的作用、导入段的获取和修改、detours库、使用WM_COPYDATA进行进程间通信、UIPI等知识。


一、What is API Hooking

    先来看Stack Overflow上对这个问题的答案:http://stackoverflow.com/questions/10562055/what-is-subclassing-and-api-hooking

    它的大意就是:API Hooking与Subclassing类似,都是通过拦截Windows固有的流程,添加自定义代码,来扩展新特性。Subclassing主要是拦截window message,扩展WndProcedure的特性;API Hooking主要是拦截应用程序对Windows API的调用,从而改变(扩展)Windows API的原有行为。广义来说,API Hooking不但可以拦截Windows API,也可以用于拦截一些第三方DLL库的API。

    API Hooking有什么用?

    Jeffrey从他遇到的一个客户需求——数据库扩展DLL卸载时的资源清理问题,引入API Hooking技术,控制“ExitProcess”系统函数的行为,让它先调用客户DLL的某个资源清理函数,待客户DLL清理完毕后,再执行原始的“ExitProcess”,卸载进程的各个DLL模块(顺序不可控)。

    除此之外,我还想到一个修改第三方DLL

最低0.47元/天 解锁文章
Sagittarius_Warrior
关注
专栏目录
Windows API hooking.简单的C++例子
Meta.Qing的博客
08-29 601
API hook是一种技术,通过它我们可以测量和修改API调用的行为和流。许多反病毒解决方案也使用这种技术来检测代码是否为恶意代码。示例1在挂接windows API函数之前,我将考虑如何从DLL中导出函数。正如你所看到的,这个DLL有最简单的导出函数:Cat, Mouse, Frog, Bird和一个参数。正如您所看到的,这个函数的逻辑是最简单的,只是带有标题的弹出消息。...
API hooking
weixin_34195142的博客
04-16 181
1. TipsAt runtime, the IAT(RVA obtained by IMAGE_THUNK_DATA->FirstThunk) is modified by OS loader and points to the real API addresses, so we should use IMAGE_THUNK_DATA->OriginalFirstThunk to r...
API Hooking 的原理
weixin_34191845的博客
10-31 259
昨天提到了如何用Hook Ole32 提供的两个API来实现Hook Drag & Drop的过程。算是给EasyHook库做一个广告吧。今天给大家讲讲EasyHook的实现原理。 API Hooking有两种,内核态级别的和用户态级别的。内核态级别的API Hooking也是很多病毒的实现原理,而且在微软不断强化其PatchGuard技术之后,已经越来越困难。做为建设四化的四有青年,我...
API Hooking (LoadLibrary)
Angelo Lee's Blog
11-25 778
API Hooking (LoadLibrary) Introduction If Windows is made to protect against API hooking, Trojan horses would not have effected our systems. I believe it is a loop hole from Microsoft. But f
API Spying Techniques for Windows 9x, NT and 2000
MichealHu的专栏
09-17 1439
API Spying Techniques for Windows 9x, NT and 2000 Yariv Kaplan API spying utilities are among the most powerful tools for exploring the inner structure of applications and operating systems. Unf
Windows核心编程》之“API Hooking”(二)
Sagittarius_Warrior的博客
08-17 1136
前一篇主要讲“API Hooking”的原理——修改IAT,这一篇主要讲代码实现和调试。 一、修改IAT     我们要修改IAT,首先要了解导入段的数据结构和操作API。 1,IMAGE_IMPORT_DESCRIPTOR     在winnt.h文件中,定义了这么一个数据结构来描述导入段中的信息单元 typedef struct _IMAGE_IMPORT_DESCRIPTOR {
API hooking revealed
08-24
API hookingWindows编程领域中一项强大的技术,它允许开发者在不影响原程序运行的前提下,对其行为进行精细控制。无论是在调试、安全审计还是功能增强方面,API hooking都展现出了不可替代的价值。理解并熟练掌握...
WINDOWS钩子与API截获和替换Win32 API的开发包HookAPI源码1.62版
02-23
《深入理解WINDOWS钩子与API截获:HookAPI1.62源码解析》 Windows钩子(Hook)是微软...通过学习和实践,开发者不仅可以掌握Windows钩子的工作原理,还能深入了解API截获在实际项目中的应用,提升系统级别的编程能力。
Windows核心编程》读书笔记二十二章 DLL注入和API拦截
sesiria的博客
12-18 2463
第22章  DLL注入和API拦截 本章内容 22.1 DLL注入的一个例子 22.2 使用注册表来注入DLL 22.3 使用Windows挂钩来注入DLL 22.4 使用远程线程来注入DLL 22.5 使用木马DLL来注入DLL 22.6 把DLL作为调试器来注入 22.7 使用CreateProcess来注入代码 22.8 API拦截的例子 通常在操作系统中
API Hooking的原理
12-07
深入讲解API HOOK技术内幕,是我想做一个对战平台的时候,下载的学习资料,
funchook:通过在运行时插入跳转指令来进行挂钩函数调用
05-04
Funchook-API挂钩库 该库取决于以下反汇编程序之一。 在x86_64和x86上 (默认) (将-DFUNCHOOK_DISASM=zydis传递给cmake命令时) (将-DFUNCHOOK_DISASM=capstone传递给cmake命令时) 在arm64上 去做 写文件。 消息 1.1.0(2020-03-22) Arm64 Linux支持。 用作arm64上的反汇编程序库。 在x86_64和x86上使用和作为反汇编程序库的选项。 在C ++的funchook.h中添加了extern "C" 。 ( ) 与Libc兼容的功能已删除,以简化代码。 1.0.0(2020-01-19) 用作反汇编程序库。 在Linux上实现了与Libc兼容的功能,以便不挂接funchook本身发出的功能调用。 支持平台 在Travis CI上测试 Linux x86_
Windows API Hooking with MS Detours
Fng的博客
08-30 634
API HOOK技术是一种用于改变API执行结果的技术。API HOOK技术能够在控制流将要进入某些API函数时,将控制流转到自定义的函数上。在这个自定义的函数中,API HOOK技术使用者能够获取传入API函数的参数,并根据这些参数执行任意操作。在这个自定义的函数结束时,API HOOK技术使用者可以选择使得控制流转移到原API函数,也可以根据API返回值类型直接返回对应的值,从而结束该API的调用。
Windows API Hooking
icbm的专栏
03-15 219
Windows API Hooking Tutorial (Example with DLL Injection) API Hooking and DLL Injection on Windows
C++使用API HookingAPI钩子)实现抓取打印数据
最新发布
qq_57661075的博客
06-22 724
API HookingAPI钩子)是一种技术,允许你在程序调用特定API函数之前或之后插入自定义的代码,从而改变或监视其行为。在打印数据抓取的上下文中,你可以使用API钩子来捕捉应用程序发送给打印系统的原始数据。你的钩子函数应该复制或记录传入的数据,然后调用原始API以保证打印过程不受影响。以上是使用API Hooking技术抓取打印数据的一个基本框架,实际实现时可能需要根据具体的应用程序和操作系统版本做适当调整。在程序初始化时,使用Detours的API安装钩子,将你的钩子函数与目标API连接起来。
Citrix API Hooking
weixin_34383618的博客
04-16 295
API Hooking是一项实用的Windows的系统编程技术,应用领域十分广泛,在桌面虚拟化技术兴起之前,主要应用于屏幕取词、网络防火墙以及病毒***等安全领域。但是在桌面虚拟化兴起之后,因为桌面虚拟化架构的原因,需要大量截获同时重定向一些操作,大量采用API Hooking技术实现。一、API Hooking技术框架术语“Hooking”是一种控制特定代码段的执行的基础技...
Windows核心编程笔记-API
白M的博客
11-28 362
第1章 错误处理 DWORD GetLastError() DWORD FormatMessage(DWORD dwFlags, LPCVOID dwMessageId, DWORD dwLanguageId, PTSTR pszBuffer, DWORD nSize, va_list *Arguments) VOID SetLastError(DWORD dwErrCode) 第2章 字符...
hook API 详解
jsl8998620的专栏
04-01 1524
来源:http://cisco.chinaitlab.com/safety/366596.html详谈HOOK API的技术HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或Ex
揭示Win32 API拦截细节/API hooking revealed (2)
weixin_33835103的博客
03-29 212
2.Win32用户级钩子 A. 窗口子类 这种方法适用于那些会根据不同窗口过程的实现而具有不同行为的应用程序。要完成上述工作(通过更改窗口过程来执行用户自定义代码),只需对该特定窗口简单调用SetWindowLongPtr(),传递GWLP_WNDPROC和用户自定义窗口过程的指针作为实参即可。一旦建立好用户自定义窗口过程,以后windows每次分发消息到目标窗口...
API Hooking技术详解:DLL注入与远程线程
"这篇教程是关于API Hooking的,特别是针对LoadLibrary函数的挂钩技术。...对于初学者来说,理解DLL Injection和API Hooking的基本原理和实践是非常重要的,这有助于深入理解Windows编程和系统级交互。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值