API挂接

最新推荐文章于 2024-05-09 09:32:22 发布
最新推荐文章于 2024-05-09 09:32:22 发布
阅读量2.6k 收藏 1
点赞数
文章标签: api descriptor dll null import image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXKKFF/article/details/1573830
版权

 

在阅读这篇文章之前,你可能要先阅读 http://www.codeproject.com/system/inject2exe.asp#PortableExecutablefileformat2
下面这段代码是一个动态链接库的源码,它用于挂接MessageBoxW的调用
#include  < windows.h >
#include  < ImageHlp.h >                  // for ImageDirectoryEntryToData
#include  < TlHelp32.h >                   // for Module32First,MODULEENTRY32 and CreateToolhelp32Snapshot
#pragma  comment(lib,"ImageHlp")        // for ImageDirectoryEntryToData
 
 #pragma  data_seg("Shared")
HHOOK hhk  =  NULL;                         // shared by all process,must be initilized
#pragma  data_seg()
#pragma  comment(linker, "/Section:Shared,rws")  // tell the linker to put hhk into the Shared section
 
 // 钩子函数.它只简单地把消息传递到下一个钩子过程
LRESULT CALLBACK GetMsgProc(  int  nCode, WPARAM wParam, LPARAM lParam ){
        return  CallNextHookEx(hhk,nCode,wParam,lParam);
}
 // 替换了的MessageBoxW.注意函数原型要和原来的一致,包括WIAPI
 // 它显示一个消息框指明MessageBoxW已被截获
int  WINAPI MyMessageBoxW( HWND hwnd,LPCWSTR lpszContent,LPCWSTR lpszCaption,UINT uType ){
       MessageBoxW(hwnd,L " Call to MessageBoxW is interceptedZZZZZZZZZZ! " ,L " Hook " ,MB_OK);
        return  MessageBoxW( hwnd,lpszContent,lpszCaption,uType);
}
 // 修改输入表
VOID ModifyIAT(HMODULE hmodCaller,LPCSTR szDllName,PROC pfnOrg,PROC pfnNew){
       PIMAGE_THUNK_DATA pITD;
       ULONG ulSize;
        // 对每一个用到的dll,在输入表中都用一个IMAGE_IMPORT_DESCRIPTOR类型的
        // 结构体保存该dll的信息
       PIMAGE_IMPORT_DESCRIPTOR pIID;
        // 用ImageDirectoryEntryToData可以取得输入表中的第一项
        // 参数IMAGE_DIRECTORY_ENTRY_IMPORT指明要取得输入表,而不是其他表
       pIID  = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(hmodCaller,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT, & ulSize);
        // 如果pIID为NULL,表示该模块没有输入表,返回
        if ! pIID )
               return ;
        // IMAGE_IMPORT_DESCRIPTOR有一个Name的成员,该成员是dll名字的RVA
        // hmodCaller实质是模块映射到进程空间中的基地址,通过将它转换为PBYTE类型,
        // 再加上Name这个RVA就可以得到这项IMAGE_IMPORT_DESCRIPTOR记录的dll的名字
        // 将这个名字与我们要挂接的dll的名字比较
        // 如果两个名字不同,则pIID++取下一项IMAGE_IMPORT_DESCRIPTOR
        for (; pIID -> Name; pIID ++ ){
               if ! lstrcmpiA( szDllName,(LPSTR)((PBYTE)hmodCaller  +  pIID -> Name) ) )
                      break ;
       }
        // 如果遍历完所有dll都没有找到我们要挂接的dll,则返回
        if ! pIID -> Name )
               return ;
        // 可以从一个dll中输入多个函数.对每一个输入的函数,用一个IMAGE_THUNK_DATA
        // 结构体保存它的信息.在IMAGE_IMPORT_DESCRIPTOR中,有一个FirstThunk成员记录着
        // 第一个IMAGE_THUNK_DATA(这个IMAGE_THUNK_DATA保存着第一个输入函数的信息)的RVA
        // 我们用与取得dll名字一样的方法(基址+RVA)取得这个IMAGE_THUNK_DATA
       pITD  =  (PIMAGE_THUNK_DATA)( (PBYTE)hmodCaller  +  pIID -> FirstThunk );
        // IMAGE_THUNK_DATA有一个ul成员,它是一个共同体.通过这个共同体的Function成员,我们
        // 可以得到输入函数在进程空间中的真实地址
        // 将这个真实地址和我们要挂接的函数的地址比较,如果相同,则修改
        // 否则pITD++取下一个输入函数的信息
        for (; pITD -> u1.Function ; pITD ++ ){
              PROC *  ppfn  =  (PROC * ) & pITD -> u1.Function;
               if * ppfn  ==  pfnOrg ){
                     WriteProcessMemory(GetCurrentProcess(),ppfn, & pfnNew, sizeof (pfnNew),NULL);
                      return ;
              }
       }
}
 // 安装钩子
_declspec(dllexport) VOID SetHook(){
        if ! hhk ){
              HINSTANCE hInst  =  LoadLibrary( TEXT( " HOOKAPILIB.DLL " ) );
               if ! hInst )
                      return ;
              hhk  =  SetWindowsHookEx(WH_GETMESSAGE,GetMsgProc,hInst, 0 );
              FreeLibrary( hInst );
       }
}
 // 缷载钩子
_declspec(dllexport) VOID UnHook(){
        if ( hhk ){               
 /*            ModifyIAT(
                     hCurrentProcess,
                     "USER32.DLL",
                     (PROC)MyMessageBoxW,
                     GetProcAddress( GetModuleHandle("USER32.DLL"),"MessageBoxW" )                 
                     ); */
              UnhookWindowsHookEx( hhk );
       }
}
 // dll的入口函数.每当这个dll被映射到一个进程的地址空间中,我们就挂接MessageBoxW
 // 在dll从进程的地址空间中缷载时,我们将原来的MessageboxW的地址写回进程中
 // 要取得这个进程的基地址,要用到MODULEENTRY32和CreateToolhelp32Snapshot
 // MODULEENTRY32的hModule成员就是进程的基地址
BOOL WINAPI DllMain( HINSTANCE hInstance, DWORD dwReason, LPVOID lpvReserved ){
 
       HMODULE hCurrentProcess;
       MODULEENTRY32 me32;    
       HANDLE hSnapshot  =  CreateToolhelp32Snapshot( TH32CS_SNAPMODULE,GetCurrentProcessId() );
       me32.dwSize  =   sizeof ( MODULEENTRY32 );
       Module32First(hSnapshot, & me32);
       hCurrentProcess  =  me32.hModule;
 
        switch ( dwReason ){
        case  DLL_PROCESS_ATTACH:
              ModifyIAT(
                     hCurrentProcess,
                      " USER32.DLL " ,
                     GetProcAddress( GetModuleHandle( " USER32.DLL " ), " MessageBoxW "  ),
                     (PROC)MyMessageBoxW                   
                     );
               break ;
        case  DLL_PROCESS_DETACH:
              ModifyIAT(
                     hCurrentProcess,
                      " USER32.DLL " ,
                     (PROC)MyMessageBoxW,
                     GetProcAddress( GetModuleHandle( " USER32.DLL " ), " MessageBoxW "  )                 
                     );
               break ;
       }
        return  TRUE;
}
下面的代码调用上面的dll导出的SetHook和UnHook,将该dll注入到其他进程
#include  < windows.h >
 
 #define  DLLNAME "HOOKAPILIB.DLL"
 
LRESULT CALLBACK WndProc (HWND, UINT, WPARAM, LPARAM) ;
 
 int  WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
                    PSTR szCmdLine,  int  iCmdShow)
{
      static  TCHAR szAppName[]  =  TEXT ( " HOOKAPI " ) ;
     HWND         hwnd ;
     MSG          msg ;
     WNDCLASS     wndclass ;
 
     wndclass.style          =  CS_HREDRAW  |  CS_VREDRAW ;
     wndclass.lpfnWndProc    =  WndProc ;
     wndclass.cbClsExtra     =   0  ;
     wndclass.cbWndExtra     =   0  ;
     wndclass.hInstance      =  hInstance ;
     wndclass.hIcon          =  LoadIcon (NULL, IDI_APPLICATION) ;
     wndclass.hCursor        =  LoadCursor (NULL, IDC_ARROW) ;
     wndclass.hbrBackground  =  (HBRUSH) GetStockObject (WHITE_BRUSH) ;
     wndclass.lpszMenuName  =  NULL ;
     wndclass.lpszClassName  =  szAppName ;
 
      if  ( ! RegisterClass ( & wndclass)){
               MessageBox(NULL,TEXT( " DDFD " ),TEXT( " DDDFAS " ),MB_OK);
           return   0  ;
        }
     
    hwnd  =  CreateWindow (szAppName,                   //  window class name
                          TEXT ( " HOOKAPI " ),  //  window caption
                          WS_OVERLAPPEDWINDOW,         //  window style
                           462 ,               //  initial x position
                           353 ,               //  initial y position
                           100 ,                                         //  initial x size
                           62 ,               //  initial y size
                          NULL,                        //  parent window handle
                          NULL,                        //  window menu handle
                          hInstance,                   //  program instance handle
                          NULL) ;                      //  creation parameters
    
      if ( hwnd ){
               ShowWindow (hwnd, iCmdShow) ;
               UpdateWindow (hwnd) ;
        }
     
      while  (GetMessage ( & msg, NULL,  0 0 ))
     {
          TranslateMessage ( & msg) ;
          DispatchMessage ( & msg) ;
     }
      return  msg.wParam ;
}
 
LRESULT CALLBACK WndProc (HWND hwnd, UINT message, WPARAM wParam, LPARAM lParam)
{
      switch  (message)
     {
      case  WM_CREATE:
               {
                      PROC SetHook;
                      HINSTANCE hInst  =  LoadLibrary(DLLNAME);
                       if ! hInst ){
                             DestroyWindow(hwnd);
                             MessageBox(hwnd,TEXT( " Can not load dll! " ),TEXT( " HOOKAPI " ),MB_ICONHAND);
                             PostQuitMessage( 0 );
                              return   0 ;
                      }
                      SetHook  =  GetProcAddress(hInst, " SetHook " );
                       if ! SetHook ){
                             DestroyWindow(hwnd);
                             MessageBox(hwnd,TEXT( " Can not find function! " ),TEXT( " HOOKAPI " ),MB_ICONHAND);
                             PostQuitMessage( 0 );
                              return   0 ;
                      }
                       // 安装钩子,这样我们的dll就被映射到每一个gui程序的进程空间中
                      SetHook();
                      FreeLibrary(hInst);
                       return   0  ;
               }
      case  WM_DESTROY:
               {
                      PROC UnHook;
                      HINSTANCE hInst  =  LoadLibrary(DLLNAME);
                       if ! hInst ){
                             MessageBox(hwnd,TEXT( " Can not load dll! " ),TEXT( " HOOKAPI " ),MB_ICONHAND);
                             PostQuitMessage( 0 );
                              return   0 ;
                      }
                      UnHook  =  GetProcAddress(hInst, " UnHook " );
                       if ! UnHook ){
                             MessageBox(hwnd,TEXT( " Can not find function! " ),TEXT( " HOOKAPI " ),MB_ICONHAND);
                             PostQuitMessage( 0 );
                              return   0 ;
                      }
                       // 退出之前我们要缷载钩子
                      UnHook();
                      PostQuitMessage ( 0 ) ;
                       return   0  ;
               }
     }
      return  DefWindowProc (hwnd, message, wParam, lParam) ;
}
运行上面这段程序之后,当你修改一个文本文件之后,在关闭记事本的时候,记事本对MessageBoxW的调用就被截获了.
下面我们把我们的截获做得彻底些
下面新的dll的代码,里面加入了对LoadLibraryA和GetProcAddress的截获
 
#include  < windows.h >
#include  < ImageHlp.h >
#include  < TlHelp32.h >
#pragma  comment(lib,"ImageHlp")
 
 #pragma  data_seg("Shared")
HHOOK hhk  =  NULL;
 #pragma  data_seg()
#pragma  comment(linker, "/Section:Shared,rws")
 
HMODULE hmodThisDll;
 
LRESULT CALLBACK GetMsgProc(  int  nCode,WPARAM wParam,LPARAM lParam){
        return  CallNextHookEx(hhk,nCode,wParam,lParam);
}
 
 int  WINAPI MyMessageBoxW(HWND hwnd,LPCWSTR lpszContent,LPCWSTR lpszCaption,UINT uType){
       MessageBoxW(hwnd,L " Call to MessageBoxW is intercepted! " ,L " HOOKAPILIB2 " ,MB_OK);
        return  MessageBoxW(hwnd,lpszContent,lpszCaption,uType);
}
 
VOID ModifyIAT(HMODULE hmodCaller,LPCSTR szDllName,PROC pfnOrg,PROC pfnNew){
       PIMAGE_THUNK_DATA pITD;
       ULONG ulSize;
       PIMAGE_IMPORT_DESCRIPTOR pIID;
       pIID  =  (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(hmodCaller,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT, & ulSize);
        if ! pIID )
               return ;
        for ( ; pIID -> Name; pIID ++  ){
               if ! lstrcmpiA(szDllName,(LPSTR)((PBYTE)hmodCaller + pIID -> Name)) )
                      break ;
       }
        if ! pIID -> Name )
               return ;
       pITD  =  (PIMAGE_THUNK_DATA)((PBYTE)hmodCaller + pIID -> FirstThunk);
        for ( ; pITD -> u1.Function ; pITD ++  ){
              PROC *  ppfn  =  (PROC * ) & pITD -> u1.Function;
               if ( * ppfn  ==  pfnOrg){
                     WriteProcessMemory(GetCurrentProcess() /* hmodCaller */ ,ppfn, & pfnNew, sizeof (pfnNew),NULL);
                      return ;
              }
       }
}
 // 在这里枚举进程的所有模块,并修改各个模块对MessageBoxW的调用
 // 这个枚举过程用到了Module32First和Module32Next
VOID ModifyIATs(LPCSTR szDllName,PROC pfnOrg,PROC pfnNew){
       BOOL fOk  =  FALSE;
       MODULEENTRY32 me32;
       HANDLE hSnapshot;
       hSnapshot  =  CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,GetCurrentProcessId());
       me32.dwSize  =   sizeof ( me32 );
        for ( fOk  =  Module32First( hSnapshot, & me32 ); fOk ; fOk  =  Module32Next(hSnapshot, & me32)){
               if ( me32.hModule  !=  hmodThisDll ){
                     ModifyIAT(me32.hModule,szDllName,pfnOrg,pfnNew);
              }
       }
       CloseHandle( hSnapshot );
}
 // LoadLriary的替代函数
HMODULE WINAPI MyLoadLibraryA( LPCSTR lpLibFileName ){
       
       HMODULE hmod  =  LoadLibrary( lpLibFileName );
       ModifyIAT( hmod, " USER32.DLL " ,
              GetProcAddress(GetModuleHandle( " USER32.DLL " ), " MessageBoxW " ),MyMessageBoxW
              );
        return  hmod;
}
 // GetProcAddress的替代函数
FARPROC WINAPI MyGetProcAddress( HMODULE hModule,LPCSTR lpProcName ){
        if ( hModule  ==  GetModuleHandle( " USER32.DLL " &&
               ! lstrcmpiA(lpProcName, " MessageBoxW " ) )
               return  (PROC)MyMessageBoxW;
        else
               return  GetProcAddress( hModule,lpProcName );
}
 
 // _declspec(dllexport) VOID SetHook( DWORD dwThreadId ){
_declspec(dllexport) VOID SetHook( ){
        if ! hhk ){
              HINSTANCE hInst  =  LoadLibrary( " HOOKAPILIB2.DLL " );
               if ! hInst )
                      return ;
              hhk  =  SetWindowsHookEx(WH_GETMESSAGE,GetMsgProc,hInst, 0 );
              FreeLibrary( hInst );
       }
}
 
_declspec(dllexport) VOID UnHook(){
        if ( hhk )
              UnhookWindowsHookEx( hhk );
}
 // 在DLL_PROCESS_ATTACH通知时,修改MessageBoxW,LoadLibraryA,GetProcAddress的地址
 // 在DLL_PROCESS_DETACH通知时,将地址改回原来的地址
BOOL WINAPI DllMain(HINSTANCE hInstance,DWORD dwReason,LPVOID lpvReserved){
       hmodThisDll  =  hInstance;
        switch ( dwReason ){
        case  DLL_PROCESS_ATTACH:
              ModifyIATs(
                      " USER32.DLL " ,
                     GetProcAddress(GetModuleHandle( " USER32.DLL " ),
                      " MessageBoxW " ),
                     (PROC)MyMessageBoxW);
              ModifyIATs(
                      " KERNEL32.DLL " ,
                     GetProcAddress(GetModuleHandle( " KERNEL32.DLL " ), " LoadLibraryA " ),
                     (PROC)MyLoadLibraryA);
              ModifyIATs( " KERNEL32.DLL " ,
                     GetProcAddress(GetModuleHandle( " KERNEL32.DLL " ), " GetProcAddress " ),
                     (PROC)MyGetProcAddress);
               break ;
        case  DLL_PROCESS_DETACH:
              ModifyIATs(
                      " USER32.DLL " ,
                     (PROC)MyMessageBoxW,
                     GetProcAddress(GetModuleHandle( " USER32.DLL " ),
                      " MessageBoxW " ));
              ModifyIATs(
                      " KERNEL32.DLL " ,
                     (PROC)MyLoadLibraryA,
                     GetProcAddress(GetModuleHandle( " KERNEL32.DLL " ), " LoadLibraryA " ));
              ModifyIATs(
                      " KERNEL32.DLL " ,
                     (PROC)MyGetProcAddress,
                     GetProcAddress(GetModuleHandle( " KERNEL32.DLL " ), " GetProcAddress " ));
               break ;
       }
        return  TRUE;
}
由于一个程序可能在运行的时候动态加载其他dll,而这些dll也可能调用MessageBoxW,所以我们要截获LoadLibrary的调用(这里只截获LoadLibraryA,而没有管LoadLibraryW)
而一个程序也可能通过GetProcAddress来获得MessageBoxW的真正地址,所以我们也要截获GetProcAddress的调用
下面是一个测试程序和一个测试用的dll.它通过三种方法调用MessageBoxW.第一种是直接调用.对这种调用,我们的第一个dll就可以截获.第二种是调用另外的dll中的函数,而这个另外的dll的函数调用了MessageBoxW.第三种是通过GetProcAddress来调用MessageBoxW
#include  < windows.h >
 
 /* 注释1
_declspec(dllimport) int IndirectMessageBox( HWND hwnd );
#pragma comment(lib,"HOOKAPITESTLIB")
 */
 
LRESULT CALLBACK WndProc (HWND, UINT, WPARAM, LPARAM) ;
 
 int  WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
                    PSTR szCmdLine,  int  iCmdShow)
{
      static  TCHAR szAppName[]  =  TEXT ( " HOOKAPITESTER " ) ;
     HWND         hwnd ;
     MSG          msg ;
     WNDCLASS     wndclass ;
 
     wndclass.style          =  CS_HREDRAW  |  CS_VREDRAW ;
     wndclass.lpfnWndProc    =  WndProc ;
     wndclass.cbClsExtra     =   0  ;
     wndclass.cbWndExtra     =   0  ;
     wndclass.hInstance      =  hInstance ;
     wndclass.hIcon          =  LoadIcon (NULL, IDI_APPLICATION) ;
     wndclass.hCursor        =  LoadCursor (NULL, IDC_ARROW) ;
     wndclass.hbrBackground  =  (HBRUSH) GetStockObject (WHITE_BRUSH) ;
     wndclass.lpszMenuName  =  NULL ;
     wndclass.lpszClassName  =  szAppName ;
 
      if  ( ! RegisterClass ( & wndclass)){
               MessageBox(NULL,TEXT( " DDFD " ),TEXT( " DDDFAS " ),MB_OK);
           return   0  ;
        }
     
     hwnd  =  CreateWindow (szAppName,                   //  window class name
                          TEXT ( " HOOKAPITESTER " ),   //  window caption
                          WS_OVERLAPPEDWINDOW,         //  window style
                          CW_USEDEFAULT,               //  initial x position
                          CW_USEDEFAULT,               //  initial y position
                          CW_USEDEFAULT,                   //  initial x size
                          CW_USEDEFAULT,               //  initial y size
                          NULL,                        //  parent window handle
                          NULL,                        //  window menu handle
                          hInstance,                   //  program instance handle
                          NULL) ;                      //  creation parameters
     
               ShowWindow (hwnd, iCmdShow) ;
               UpdateWindow (hwnd) ;
     
      while  (GetMessage ( & msg, NULL,  0 0 ))
     {
          TranslateMessage ( & msg) ;
          DispatchMessage ( & msg) ;
     }
      return  msg.wParam ;
}
 
LRESULT CALLBACK WndProc (HWND hwnd, UINT message, WPARAM wParam, LPARAM lParam)
{
      switch  (message)
     {
         case  WM_LBUTTONDOWN :
               {
                       // IndirectMessageBox(hwnd); // 注释1
/* 注释2
                      HMODULE hmodNewlyLoaded;
                      //注意PROC定义的函数调用方式是WINAPI 的,
                      //所以,IndirectMessageBox也必须是WINAPI的,否则出现错误                 
                      PROC IndirectMessageBox; 
                      hmodNewlyLoaded = LoadLibrary( TEXT("HOOKAPITESTLIB.DLL") );
                      IndirectMessageBox = GetProcAddress(hmodNewlyLoaded,"IndirectMessageBox");
                      IndirectMessageBox( hwnd );
                      FreeLibrary( hmodNewlyLoaded );
 */
//                    MessageBoxW(hwnd,L"HookAPITester",L"HookAPITester",MB_OK); // 注释0
                      PROC MessageBoxWPROC  =  GetProcAddress(
                             GetModuleHandle( " USER32.DLL " ), " MessageBoxW " );
                      MessageBoxWPROC(hwnd,L " HookAPITester " ,L " HookAPITester " ,MB_OK);
                       break ;
               }
      case  WM_DESTROY:
               PostQuitMessage ( 0 ) ;
                return   0  ;
     }
      return  DefWindowProc (hwnd, message, wParam, lParam) ;
}
 
 下面是一个测试dll,它有一个调用 了MessageBoxW的导出函数
#include  < windows.h >
int  WINAPI IndirectMessageBox( HWND hwnd ){
        return  MessageBoxW(hwnd,
              L " IndirectMessageBox " ,
              L " HookAPITestLib " ,
              MB_OK);
}
下面是这个dll的.def文件 
LIBRARY
       EXPORTS
              IndirectMessageBox

==============================

欢迎交流.如果你发现本文有错,或者有什么意见以改进,可以给我发邮件xkf.com.net@163.com

 

XXKKFF
关注
通过修改代码挂接API
smfwuxiao的专栏
03-12 2677
如何挂接API 想要挂接API,有两种方法:1、修改代码方法 2、修改模块的输入节。对于第2种方法的详细讲解,请看《Windows核心编程》,Jeffery Ritcher讲得是最好的。不过比较复杂,需要了解 ImageHlp库函数,MSDN讲解得很少。 这里主要探讨第一种API挂接方式。 在X86 CPU下,原理即把API函数的头5个字节修改为一条JMP指令,
API挂接 跨进程API挂接实现
04-14
用钩子方法进行挂接另外一个进程的API函数,并以Demo展示使用方法,对于学习挂接技术是很好的入门指南。
挂接API
天道酬勤
04-27 1360
<br />// hook.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> PVOID HookAPI(LPBYTE pbModule,PCSTR pszName,PVOID pvOrg,PVOID pvNew) { PIMAGE_THUNK_DATA r; PIMAGE_NT_HEADERS p; PIMAGE_IMPORT_D
如何挂接API
石头记
06-21 1761
   在调用Java的打印时,发现调用Java提供的纸张调整功能有问题(需要实现连续走纸的动态微调,在打印过程中,动态改变纸张高度,来消除走纸误差)。对于该应用,我是在Windows上用MFC做过相应程序的,没有任何问题。网上也有很多介绍,应该说Windows的打印是进行了很好支持的。但为啥Java的实现会有问题呢?      看过Java的相关代码后找到原因:发现它在纸张调整时,做了额外的根
API钩挂技术
B_H_L的专栏
07-26 1748
l  什么是API钩挂技术: API挂钩技术的目的就是:用自己的函数替换别人程序里的函数。当程序试图调用它原来应该使用的函数A的时候,我们将函数A替换成函数B,让程序调用B去进行我们想要的处理。 一个例子就是我们经常使用的屏幕取词软件,例如金山词霸和博雅等等。当鼠标指向一个英文或者中文单词的时候,就会在旁边给出相应的翻译。实现该类软件的一个方法就是使用API钩挂技术。当鼠标在屏幕上移动时系统会
MinHook - 在简约的x86/x64 API挂接
06-20
MinHook是一个针对x86和x64架构的API钩子库,它的设计目标是提供一个轻量级、高效且可靠的API拦截解决方案。API钩子技术在IT领域中广泛应用于软件调试、性能监控、功能增强等多种场景。MinHook借鉴了微软的Detours库...
通过消息hook把dll注入到别的进程,再通过 该进程的IAT 挂接api
07-20
`hookApi`可能是一个实现了API挂接的函数,`setHook`可能用于设置消息钩子,而`Solution`则可能是整个解决方案的入口点,整合了上述功能。 总的来说,这个技术组合用于实现对其他进程的控制,比如监控、调试或篡改...
tzmt4api.rar_API_mt4_mt4api_mt4api接口_tzmt4api
07-14
标题中的“tzmt4api.rar”是一个压缩包文件,它包含了一个名为“tzmt4api”的接口库,可能用于与MetaTrader 4 (MT4)交易平台进行交互。MT4是金融市场广泛使用的交易平台,尤其在外汇交易领域。API(应用程序编程接口...
Offensive-API-Hooking:进攻API挂钩用于获取明文凭证
03-25
在网络安全领域,API挂钩(Hooking)是一种技术,它允许我们拦截并控制应用程序与操作系统或其他组件之间的通信。这种技术在防御性安全分析中被广泛使用,但也可以被攻击者利用来执行恶意活动,例如“进攻API挂钩”...
第三方挂接接口说明
11-11
第三方挂接接口说明
Error at hooking API “LoadStringA“ Dump first 32 bytes:
m0_46911343的博客
10-23 3万+
Error at hooking API “LoadStringA” Dump first 32 bytes: 可能是由于昨天删那个流氓软件的问题,我的电脑今天打不开一个软件,一打开就弹出一个弹窗。 图片有点歪,但是能够看清,我百度了一下,说是我电脑里面的Microsoft visual c++出了问题,需要重新安装。但是如何重新安装呢?这是一个c盘的文件,我也不太敢删,害怕出现更大的问题。 查了一个多小时,一个网站上解释了正确的思路。但是它也要我删,但是由于戒备心比较强,我并没有照做。 下面我介绍一下我
调用api接口异常的原因及解决方法
Merissa_的博客
01-02 4807
在进行接口调用时,调用有时会遇到各种异常情况,接口解决例如连接超时、异常因及返回值错误等。连接超时是异常因及指在与服务器建立连接时,超过了规定的调用的原时间仍未成功建立连接所引起的异常。除了连接超时和返回值错误外,还有许多其他的异常情况,例如服务器返回异常数据、接口服务异常等。1. 对于服务器返回异常数据,需要对数据进行详细的分析,找出错误原因,并进行相应的处理。3. 对于返回值错误,需要对接口返回值进行详细的分析,找出错误原因,并进行相应的处理。2. 对于接口服务异常,需要及时联系接口提供方,解决问题。
永劫无间丢失advapi32.dll文件怎么修复?永劫无间丢失advapi32.dll文件问题的详细解决方案一览
最新发布
onecdll的博客
05-09 535
advapi32.dll是Windows操作系统中的一个核心系统文件,该文件名称代表"Advanced API (Application Programming Interface) 32-bit"。这个动态链接库(DLL)包含由应用程序用于执行高级系统任务的函数接口,特别是与安全性和注册表操作相关的功能。那么永劫无间丢失advapi32.dll文件怎么修复呢?下面一起来看看具体的介绍吧!
知道这10个让你的API接口突然超时的原因吗?
Java_LingFeng的博客
01-12 8823
不知道你有没有遇到过这样的场景:我们提供的某个API接口,响应时间原本一直都很快,但在某个不经意的时间点,突然出现了接口超时。 也许你会有点懵,到底是为什么呢? 今天跟大家一起聊聊接口突然超时的10个原因,希望对你会有所帮助。
WINDOWS核心编程笔记(22-27)
深之JohnChen的专栏
12-10 5890
第22章插入DLL挂接API在MicrosoftWindows中,每个进程都有它自己的私有地址空间。当使用指针来引用内存时,指针的值将引用你自己进程的地址空间中的一个内存地址。你的进程不能创建一个其引用属于另一个进程的内存指针。因此,如果你的进程存在一个错误,改写了一个随机地址上的内存,那么这个错误不会影响另一个进程使用的内存。在Windows98下运行的各个进程共享2GB的地址空间,该地址空间
PE文件结构详解(四)PE导入表
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入表有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORTIMAGE_DIRECTORY_ENTRY_BOUND_IMPORTIMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
蓝牙4.0 OSAL API接口详解
例如,`osal_task_create()`用于创建新任务,`osal_task_suspend()`和`osal_task_resume()`分别用于挂起和恢复任务。 5. **PowerManagementAPI**:在版本1.4中进行了修改,这些API可能涉及设备的低功耗模式,如睡眠...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值