win32的hook机制

最新推荐文章于 2024-07-15 23:08:41 发布
最新推荐文章于 2024-07-15 23:08:41 发布
阅读量935 收藏
点赞数
分类专栏: windows 文章标签: hook dll windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ancyzhou/article/details/2162643
版权
这篇博客探讨了Win32系统中的hook机制,强调了为了实现全局hook,hook代码必须放在DLL中。因为每个进程都有独立的内存空间,DLL能够被映射到不同进程以处理各自的数据。当需要hook非本进程数据时,必须通过loadlibrary来加载DLL。如果DLLMain在非指定程序中加载时返回FALSE,可以防止在非目标进程中hook。博客提供了在DLLMain中检查并阻止非指定程序加载的示例代码。
摘要由CSDN通过智能技术生成

你在楼下的问题其实涉及到了win32的hook机制,

如果你看msdn中的setwindowshookex函数说明,你会发现,ms告诉你如果你想
hook全局数据,你必须把hook代码写在dll中,如果你的hook代码在.exe中,
则你只能hook本进程的数据.

你想过这是为什么吗?

win32抛弃了win16的全局内存的概念,每个进程有自己独立的内存空间,
并且不受其他进程影响.这样一来所有代码都只能访问局部资源,但很显然有些
应用必须是全局的,比如你的hook,所以ms必须提供一种折衷的安全的方法.好
在windows中的dll正好可以解决这个问题.

dll是一种代码摸块,它可以被映射进不同的进程空间,具体方法就不多谈了,如果
你有兴趣我们以后讨论.

基于以上原因,ms要求我们把全局hook放进dll,以便由win32映射进不同的进程
空间,每个进程空间中的hook代码只负责处理该进程中的数据.所有的局部
之和就是全局,这样既维护了进程空间的独立性,又可以处理全局数据.

你的问题是想hook一个进程的数据,但又不是本进程,所以你必须让win32帮你把
hook代码放到其他进程空间,又要有所选择.
win32在映射hook代码到其他进程空间中的方法很简单,就是在另一个进程中调用
loadlibrary

只有loadlibrary成功以后才能hook到该进程的数据.
如果某个进程执行loadlibrary失败,那么我们将无法hook到该进程的数据.

loadlibrary失败除了系统原因外,还有个重要因素就是dllmain没有返回TRUE!

根据以上理论,我们只要在非指定程序装载hook dll时让dllmain返回false,即可达到
你的目的了.

所以你需要在hook dll中添加下面的代码"


BOOL APIENTRY DllMain(HANDLE hModule, DWORD dwReason, LPVOID lpReserved)
{
switch(dwReason) {
case DLL_PROCESS_ATTACH:
    ............
   if(不是指定程序)
     return FALSE
break;
.................
........
}
    return TRUE;
}

ancyzhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
收集的Hook学习资料
12-15
网上收集的Windows Hook技术的一些资料,打个包,慢慢消化。
hook资料
simon7in的专栏
04-16 445
<br />关于KeyboardProc,在MSDN中,他这么说:wParam  Specifies   the   virtual-key   code   of   the   key   that   generated   the   keystroke   message. <br />精确的中文意思是:wParam表示产生此键盘消息的物理键的虚拟键值。 <br />但是在WM_KEYDOWN消息中,MSDN却这么说:wParam  Specifies   the   virtual-key  
Win32-HOOK技术
最新发布
qq_36318563的博客
07-15 243
1. HOOK技术本质是利用 API 来提前拦截并处理 Windows 消息的一种技术。2. 运行机制:钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统中,每当特定的消息发出,在到达目的窗口之前,钩子程序就先截获该消息,这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
Win32全局钩子在VC5中的实现 (转)
circularr9834的博客
08-13 123
Win32全局钩子在VC5中的实现 (转)[@more@]win32全局钩子在VC5中的实现   ·windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常...
32windows的全局hook
windows小菜鸡的博客
03-07 628
1、思路: 整理以前的代码,顺便写个帖子。该方法是利用驱动构建调用门和中断门,然后利用调用门修改页相关dll的页属性,再利用中断门来hook相关的函数。当然也有更简单的方法,此方法是利用调用门和中断门的使用,当然64位下是行不通的,会触发pg。64需要切换gs,(x86是fs寄存器只想teb和kprcb) 2、驱动 #include <ntifs.h> #include <ntddk.h> #include <stdio.h> #define DEVICENAME L"\
C/C++ HOOK API(原理深入剖析之-LoadLibraryA)
热门推荐
masefee C/C++游戏编程
09-18 2万+
9月都快结束了,之前一直忙到写自己的东西加上上班。基本没有时间研究下汇编和C C++方面的感兴趣的东西。再怎么说嘛,9月还是得写一篇撒,以后每月至少一篇吧。给自己定了,希望大家监督。嘿嘿!这篇文章就来谈谈平常很常见的HOOK技术,这里呢。写得比较简单,方法很多。只讲原理!希望大鸟们别吐我口水哈 - -。好!切入正题。首先是概念吧。什么是钩子(HOOK)? 钩子(Hook),是Win
Windows miniHook hookapi demo
09-14
Win32钩子是Windows API提供的一种机制,它允许程序安装一个回调函数(Hook Procedure),当特定类型的事件发生时,这个回调函数会被调用。这些事件可以包括键盘、鼠标输入,窗口创建、消息发送等。钩子分为全局钩子...
Win32HOOK 就是
04-08
Win32HOOK是一种在Windows操作系统环境下广泛使用的编程技术,它允许开发者插入代码到系统或应用程序的特定点,以便在特定事件发生时进行处理或监控。这个技术的核心在于“钩子”,钩子是一种机制,通过它可以截获并...
win32 经典HOOK代码
10-31
"win32 经典HOOK代码"指的是使用Windows API在32位操作系统环境下实现HOOK功能的示例代码。 在VC(Visual C++)工作平台上,开发者可以利用Microsoft提供的Win32 API来创建HOOK。以下是一些关键知识点: 1. **全局...
Win32SimpleHook
12-27
《深入理解Win32 Simple Hook技术》 Win32SimpleHook是一个专注于Windows 32位系统中的本进程hook技术的示例项目。Hook技术在Windows编程中占据着重要的地位,它允许开发者监控或修改特定系统调用、API函数或者消息...
WinHook.rar
06-18
《深入理解Windows钩子程序——以WinHook为例》 在Windows操作系统中,钩子(Hook)是一种强大的技术,它允许开发者截取系统或应用程序中的特定事件,如键盘输入、鼠标移动等。本篇文章将深入探讨Windows钩子的概念...
各类的hook资料,新手学hook
03-24
关于hook各类的文档,代码,研究生论文,hook防火墙
Hook Api,hook ReadFile,hook WriteFile,hook LoadLibrary
09-02
hook api,hook CreateFile,hook CloseHandle,hook ReadFile,hook WriteFile,hook LoadLibrary
LoadLibraryHook:钩住进程内的负载库
03-19
LoadLibraryHook 钩住进程内的负载库 使用vcpkg 安装polyhook vcpkg install polyhook2:x64-windows ...应该可以从那里建造。
一个win32下的api hook方案
FreeWave's space
09-04 906
api hook还是挺常用的, 成熟的方案有微软自己的,  支持32位Detours。  还有支持32位、64位的开源库MHook。     按照MHook的api, 自己仿造了一个简化的, 用作学习。   只支持32位的, 要改成64位的话, 要对shellcode进行改写。 思路: 改写函数前面的机器码, 跳转到自己的函数。 要调用原函数时, 先写回原来函数的机器码, 再调用原函数, 调用
孙鑫VC学习笔记:第二十讲 Hook编程
遐迩思的专栏
09-03 4610
 通过安装Hook过程,可以用来屏蔽消息队列中某些消息The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain ty
Win32 程序的API内联与Hook
不会写代码的丝丽
11-13 1158
概述 我们有一个程序比较简单界面如下: 我们点击中间的按钮会弹出一个MessageBox 如下图所示 为方便学习这个原始程序我这里也用汇编编写 .386 .model flat, stdcall ;32 bit memory model option casemap :none ;case sensitive include dlgApp.inc .data g_szTitle db "myTitle",0 .code start: invoke GetModuleHandle,NULL
hook介绍
吃蛋糕的居居
07-21 6040
一.hook(钩子):(按照生命周期和功能进行封装) 优势:逻辑简化. (1)要启用Hooks,所有React软件包都必须为16.8.0或更高版本. (2)钩子是允许从功能组件(function component)“挂钩”React状态和生命周期功能的功能。钩子在类内部不起作用-它们允许你在没有类的情况下使用React. (3)React提供了一些像useState这样的内置Hook。你还可以创建自定义Hook以在不同组件之间重用有状态行为. (4)Hook是一些可以让你在函数组件里“钩入” R
关于 Hook Win32 API 的一点研究
xqhrs232的专栏
12-01 525
原文地址::http://blog.csdn.net/eagletian/article/details/1374028 相关文章 1、  Hook Win32 API 的应用研究之一:网络监控----http://blog.csdn.net/eagletian/article/details/1374033 2、  Hook Win32 API 的应用研究之
飞思卡尔MC9S12XS128 Bootloader设计:掌握Win32环境下32位汇编的钩子应用
本文主要探讨了在Windows Win32环境中,飞思卡尔芯片mc9s12xs128的Bootloader设计中涉及的钩子(Hook)技术。钩子是Windows操作系统中的一个重要概念,它允许开发者在特定消息传递或系统事件发生时插入自定义代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值