一个简单的HOOK API的DLL

最新推荐文章于 2020-07-27 10:53:54 发布
最新推荐文章于 2020-07-27 10:53:54 发布
阅读量714 收藏
点赞数
文章标签: dll hook api winapi descriptor header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blessyou312/article/details/1882218
版权
#include "windows.h"
#include "process.h"
#include "tlhelp32.h"
#include "stdio.h"

#pragma comment(lib,"th32.lib")

PIMAGE_DOS_HEADER pDosHeader ;
PIMAGE_NT_HEADERS pNTHeaders ;
PIMAGE_OPTIONAL_HEADER    pOptHeader ;
PIMAGE_IMPORT_DESCRIPTOR pImportDescriptor ;
PIMAGE_THUNK_DATA        pThunkData ;
PIMAGE_IMPORT_BY_NAME    pImportByName ;
HMODULE hMod ;


// 定义MessageBoxA函数原型
typedef int ( WINAPI * PFNMESSAGEBOX )( HWND , LPCSTR , LPCSTR , UINT uType );
int WINAPI MessageBoxProxy ( IN HWND hWnd , IN LPCSTR lpText , IN LPCSTR lpCaption , IN UINT uType );

int * addr = ( int *) MessageBoxA ;       //保存函数的入口地址
int * myaddr = ( int *) MessageBoxProxy ;


void ThreadProc ( void * param ); //线程函数

//---------------------------主函数开始

BOOL WINAPI DllMain ( HINSTANCE hinstDLL , DWORD fdwReason , LPVOID lpvReserved )
{
     if ( fdwReason == DLL_PROCESS_ATTACH )      
           _beginthread ( ThreadProc , 0 , NULL );      

     return TRUE ;
}


//结束进程的函数

void ThreadProc ( void * param )
{
     //------------hook api----------------
     hMod = GetModuleHandle ( NULL );//当前进程空间的模块句柄

     pDosHeader = ( PIMAGE_DOS_HEADER ) hMod ;
     pNTHeaders = ( PIMAGE_NT_HEADERS )(( BYTE *) hMod + pDosHeader -> e_lfanew );
     pOptHeader = ( PIMAGE_OPTIONAL_HEADER )& ( pNTHeaders -> OptionalHeader );
     pImportDescriptor = ( PIMAGE_IMPORT_DESCRIPTOR )(( BYTE *) hMod + pOptHeader -> DataDirectory [ 1 ]. VirtualAddress );

     while ( pImportDescriptor -> FirstThunk )
     {
           char * dllname = ( char *)(( BYTE *) hMod + pImportDescriptor -> Name );

           pThunkData = ( PIMAGE_THUNK_DATA )(( BYTE *) hMod + pImportDescriptor -> OriginalFirstThunk );

           int no = 1 ;
           while ( pThunkData -> u1 . Function )
           {
                 char * funname = ( char *)(( BYTE *) hMod + ( DWORD ) pThunkData -> u1 . AddressOfData + 2 );
                 PDWORD lpAddr = ( DWORD *)(( BYTE *) hMod + ( DWORD ) pImportDescriptor -> FirstThunk ) +( no - 1 );
          
                 //修改内存的部分
                 if ((* lpAddr ) == ( int ) addr )
                 {
                     //修改内存页的属性
                     DWORD dwOLD ;
                     MEMORY_BASIC_INFORMATION mbi ;
                     VirtualQuery ( lpAddr ,& mbi , sizeof ( mbi ));
                     VirtualProtect ( lpAddr , sizeof ( DWORD ), PAGE_READWRITE ,& dwOLD );
                    
                     WriteProcessMemory ( GetCurrentProcess (),
                                 lpAddr , & myaddr , sizeof ( DWORD ), NULL );
                     //恢复内存页的属性
                     VirtualProtect ( lpAddr , sizeof ( DWORD ), dwOLD , 0 );
                 }
                 no ++;
                 pThunkData ++;
           }

           pImportDescriptor ++;
     }
}

//自己定义的方法
int WINAPI MessageBoxProxy ( IN HWND hWnd , IN LPCSTR lpText , IN LPCSTR lpCaption , IN UINT uType )
{
     return         (( PFNMESSAGEBOX ) addr )( NULL , "gxter_test" , "gxter_title" , 0 );
     //可以写代码进程其它操作
}
 
blessyou312
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用hook截获进程的API调用
Redspider的专栏
04-01 2530
截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明如下:HHOOK SetWindowsHookEx(  int idHook,        // hook type  HOOKPROC lpfn,
HOOK Windows API
flowwaterdog的博客
04-26 537
HOOK Windows API 只能HOOK 本地的API,适用于入门学习 HOOK API的一般步骤: 1.定义假API函数 假API函数,除了函数名称和真API不一样之外,其它的都要跟真API的定义相同,如参数类型和返回值、调用形式等。 int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType...
Windows Dll注入与API HOOK
翻肚鱼儿的博客
07-27 543
DLL注入: 1. 使用注册表注入dll HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs AppInit_Dlls设置待注入的dll绝对路径 LoadAppInit_Dlls值设为1 2. 使用Windows挂钩注入dll 需要使用SetWindowsHookEx函数,MSDN定义如下: HHOOK WINAPI SetWindowsHook...
Hook API (C++)
jiangxinyu的专栏
03-16 4865
一、基本概念:钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子
一个win32下的api hook方案
FreeWave's space
09-04 913
api hook还是挺常用的, 成熟的方案有微软自己的,  支持32位Detours。  还有支持32位、64位的开源库MHook。     按照MHookapi, 自己仿造了一个简化的, 用作学习。   只支持32位的, 要改成64位的话, 要对shellcode进行改写。 思路: 改写函数前面的机器码, 跳转到自己的函数。 要调用原函数时, 先写回原来函数的机器码, 再调用原函数, 调用
ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll
09-20
"dll_hook"标签暗示了这个过程涉及到DLL的注入,这是将自定义代码放入另一个进程内存空间的方法。DLL注入通常是通过创建远程线程并传递DLL路径来实现的,这样目标进程就会加载并执行注入的DLL。 "Dll Hook"则是实现...
Hook_DLL.rar_api hook_hook dll_hook/dll_keyboard dll
09-20
一个应用程序尝试调用特定的API函数时,钩子可以捕获这个调用并采取行动,例如记录输入、改变行为或完全阻止调用。这种技术在软件调试、系统监控和安全应用非常常见。 首先,我们需要了解什么是DLLDLL是...
HOOK_api.rar_Hook_api_detourapi_dll hook api_dll注入_注入 api hook
09-23
"Hook_api_detourapi_dll"暗示了其可能使用了Detour库,这是一个由Microsoft Research开发的用于API钩子的工具,它允许开发者拦截和修改函数调用。 描述提到“dll注入后拦截API”,这是指动态链接库(DLL)注入...
DELPHI编写HOOK API实现DLL全局钩子启动记事本的程序-DELPHI prepared HOOK API to a
01-09
DELPHI编写HOOK API实现DLL全局钩子启动记事本的程序-DELPHI prepared HOOK API to achieve the overall hook DLL procedures start Notepad
APIHOOK.2.0.src.rar_apihook2.0_apihooks.dll_fileop.dll_钩子函数
09-22
本压缩包"APIHOOK.2.0.src.rar"包含了一个名为"apihook2.0"的项目,它提供了"apihooks.dll"和"fileop.dll"两个动态链接库文件,以及相关的源代码,用于演示如何使用钩子函数。 API Hook是钩子技术的一种应用,主要...
用户层下拦截系统api的原理与实现
默数悲伤
04-15 2097
  写这篇文章是为了复习一些知识,最近在做毕业设计,之大量地使用了这种技术,主要是用在拦截winsock函数,对于其他系统api,其效果也是一样的.  拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要
AndroidHook机制——VirtualHook
精益求精
08-15 1105
对于Android应用安全研究人员来说,Xposed想必一定不陌生。作为一款流行的应用hook框架,Xposed允许对应用进行无感知的hook。许多实用工具,例如早期的脱壳工具Zjdroid,关闭证书强校验的JustTrustMe,Android恶意应用分析沙盒Cuckoo-Droid等,均是通过Xposed完成。然而,从Android 5.0时代起,DVM模式被ART模式取代,代码执行的机制进行...
2进制3位数过去现在将来输赢公式代码.txt
09-07
2进制3位数过去现在将来输赢公式代码
福州大学在广东2021-2024各专业最低录取分数及位次表.pdf
最新发布
09-07
全国各大学在广东2021-2024各专业最低录取分数及位次表
WordPress 集网址、资源、资讯于一体的导航类主题开心版
09-07
WordPress 集网址、资源、资讯于一体的导航类主题开心版; 运行环境 PHP7.4 + MYSQL5.6
使用IAT替换实现Hook API详解
5. **替换地址**:一旦找到目标函数的`IMAGE_THUNK_DATA`,将其`u1.Function`字段(通常是一个指针)替换为你自己的Hook函数地址。这样,当程序调用原函数时,实际上会执行你的Hook函数。 6. **恢复原始函数**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值