逆向工程核心原理 Chapter 21 | Windows消息钩取

最新推荐文章于 2025-05-08 18:47:11 发布
最新推荐文章于 2025-05-08 18:47:11 发布
阅读量820 收藏 13
点赞数 16
分类专栏: 《逆向工程核心原理》 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ULGANOY/article/details/141788496
版权

开始DLL注入章节的学习。

知识点学习

消息钩子

这里主要是要弄明白Windows GUI程序的工作模式/流程。

GUI以事件驱动方式工作。核心概念:message queue

在这里插入图片描述

在这里插入图片描述

最具代表性的:MS提供的spy++

在这里插入图片描述

SetWindowsHookEX()

SetWindowsHookExA 函数 (winuser.h) - Win32 apps | Microsoft Learn

HHOOK SetWindowsHookExA(
  [in] int       idHook, 	// hook type
  [in] HOOKPROC  lpfn,   	// hook procedure 
  [in] HINSTANCE hmod,   	// hook procedure所属的DLL句柄 (Handle)
  [in] DWORD     dwThreadId // 待hook的线程ID
);

在这里插入图片描述

像这样,使用SetWindowsHookEX()设置好钩子后,

运行钩取示例 HookMain.exe

附件给的:

在这里插入图片描述

经测试,要在win7环境跑。

运行HookMain后打开notepad,再开Process Explorer。

选中notepad.exe CTRL+D

在这里插入图片描述

说明KeyHook.dll已经注入notepad.exe进程了。

然后HookMain.exe中输入q后就退出,KeyHook.dll也不在notepad.exe中了。

源码分析/书写

这一章的逆向都很简单,主要关注的是怎么自己写dll inject。

HookMain.cpp

// HookMain.cpp
#include<stdio.h>
#include<stdlib.h>
#include<conio.h>
#include<Windows.h>

#define DLL_NAME "KeyHook.dll" // dll's name
#define HOOKSTART "HookStart" // start function in DLL
#def
最低0.47元/天 解锁文章
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
【ChatGPT核心原理实战】手动求解 Transformer:分步数学示例 | Solving Transformer by Hand: A Step-by-Step Math Example
AI天才研究院
12-22 3442
手动求解 Transformer:分步数学示例Understanding Transformers: A Step-by-Step Math Example — Part 1了解 Transformer:分步数学示例 — 第 1 部分I understand that the transformer architecture may seem scary, and you might have encountered various explanations on…我知道变压器架构可能看起来很可怕,并且
逆向工程核心原理windows消息钩取
wangtiankuo的博客
03-14 780
春节结束之后,感觉分析难一点的代码有点力不从新,尤其是模拟通信这一块。要是有的时候通信部分写的代码多一点,动态调试非常浪费时间,可是直接看伪代码我又看不懂,尤其是大片大片的没有名称的函数简直要我的命。之前分析成功一个远控木马,里面的通信是三层函数,靠着耐心算是分析出来了控制指令,也提取了特征,但是之后又遇到了一个样本,通信那一部分的函数超级多,看伪代码根本没头绪。我猜可能是我代码打的太少了,所以看...
逆向工程核心原理学习笔记(三):DLL注入
闵行小鱼塘
05-18 3920
继续学习《逆向工程核心原理》,本篇笔记是第三部分:DLL注入,主要包括三种DLL注入、DLL卸载、修改PE、代码注入等内容
c/c++成长之捷径
明月松间照,清泉石上流!
10-15 8147
c++成长之路不再迷茫!           不知不觉中进入计算机行业已有多个年头了,回首往事依然历历在目。今天我把我这段时间收集的书籍资料以及实例源码帖出来(部分资料太大了放不上去,理解下),与大家一起分享,我想其中的一些资料对大家会有帮助,并且我希望这些资料以及实例源码能对大家有一定的提升作用。帮助初学者快速进入VC++并且能融会贯通,那么我的目的也就达到了。 首先推荐的视频教
剖析虚幻渲染体系(15)- XR专题
虚幻私塾
06-09 3400
目录* 15.1 本篇概述 + 15.1.1 本篇内容 + 15.1.2 XR概念 - 15.1.2.1 VR - 15.1.2.2 AR - 15.1.2.3 MR - 15.1.2.4 XR + 15.1.3 XR综述 + 15.1.4 XR生态 + 15.1.5 XR应用虚拟现实(VR)因伊万·萨瑟兰(Ivan Sutherland)在20世纪60年代的工作而广受赞誉。在过去的50年里,虚拟现实技术的普及程度上下波动。特别是,近年来,虚拟现实在虚拟现实及其对应产品增强现实(AR)方面的投资吸引了许多科
c/c++成长之捷径 C/C++学习资料大全
热门推荐
Windeal
05-31 1万+
socket协议 三次握手与结束连接 客户端代码: #include #include #include //for bzero #include //for socketaddr_in #include #include #include #define PORT 5050 //端口号 #define MAXLEN_FOR_DATA
Linux 内核调试指南[转载]
我的博客
05-14 3081
linux内核调试指南 一些前言 作者前言 知识从哪里来 为什么撰写本文档 为什么需要汇编级调试 ***第一部分:基础知识*** 总纲:内核世界的陷阱 源码阅读的陷阱 代码调试的陷阱 原理理解的陷阱 建立调试环境 发行版的选择和安装 安装交叉编译工具 bin工具集的使用 qemu的使用
Linux Kernel - Debug Guide (Linux内核调试指南 )
swlhmq的专栏
12-02 5873
linux内核调试指南 一些前言 作者前言 知识从哪里来 为什么撰写本文档 为什么需要汇编级调试 ***第一部分:基础知识*** 总纲:内核世界的陷阱 源码阅读的陷阱 代码调试的陷阱 原理理解的陷阱 建立调试环境 发行版的选择和安装 安装交叉编译工具 bin工具集的使用 qemu的使用
A002-185-2521-李子泓
JamesOldLU的博客
01-04 2898
课程名称 软件建模与分析 班级 18软工5班 专题名称 个人的需求分析与建模读书心得与对你组项目的发展建议 教导教师 董瑞生 姓名 李子泓 学号 1814080902521 日期 2020年12月19号 一、个人的需求分析与建模读书心得 Function requirement 1)词语解说 {#
逆向工程核心原理 Chapter23 | DLL注入
ULGANOY的博客
09-02 1494
逆向工程核心原理第23章学习记录
windows游戏编程大师技巧chapter7工程文件part1
06-07
"Windows游戏编程大师技巧Chapter7工程文件Part1"是这一领域的关键章节,它涵盖了游戏开发过程中的核心概念和技术,特别是与工程文件相关的部分。下面将详细阐述这部分内容的主要知识点。 首先,工程文件在游戏开发...
逆向工程核心原理 Chapter20 | “内嵌补丁”练习
ULGANOY的博客
08-31 1058
逆向工程核心原理》第20章学习记录
【链表扫盲】FROM GPT
最新发布
m0_48165967的博客
05-08 445
通过指针将节点串联在一起。
《算法精解:C语言描述》note-2 链表
qq_42783188的博客
05-04 968
这里讲了单链表、双向链表和循环链表的接口和具体实现、常见应用。 《算法精解:C语言描述》这本书在讲解数据结构和算法的概念同时,使用C代码而不是伪代码来实现具体的细节,很适合刚学完C语言的人来读:既可以熟练各种用法,也能了解数据结构和算法的底层实现。
Antd中Table详解:
m0_66986239的博客
05-06 838
title: "操作",key: "",<Button type="link" onClick={() => viewBag(data)}>查看资产包</Button>
openwrt之UCI 增删改查(add/get/set /add_list...
BUG_MeDe的博客
05-08 293
可以把每一个config数组,从上到下可以看成[第一个home0,最后一个home0],其次[home1 ...],UCI命令允许我们通过@home0[0]这样的方式操作第0个数组,其次也可以使用负数,如将上面的@home0[-1]:表示操作的最后一个home0。使用add增加的config的name字段是匿名的,我们看到的cfgxxxx是uci自动分配的。本文是在此基础上,介绍一下UCI配置文件的相关命令是如何操作的。本文介绍了UCI命令的一些用法,可以使用UCI命令生成一个简单的配置文件。
第 7 篇:跳表 (Skip List):简单务实的概率性选手
m0_73762612的博客
05-02 1536
跳表: 实现内存有序表时,若看重实现简单性、写性能和范围查询效率,且能接受概率性性能保证,跳表是优秀选择。
(笔记)List
qq_51681048的博客
05-03 1335
1.5 与其他容器相比,list和forward_list最大的缺陷是不能支持任意位置的随机访问,比如:要访问list的第六个位置的元素,必须从已知的位置迭代到该位置,在这段位置迭代需要线性的的时间开销,list还需要一些额外空间开销,以保存每个节点的关联信息。list底层结构为带头双向循环链表,因此在list中插入是不会导致迭代器失效的,只有在删除时才会失效,而且失效的只是被删除的节点处的迭代器,其他位置的迭代器不会被影响。此处,可以吧iterator理解成为一个指针,指向list的一个节点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值