想通过Hook Com IFileOperation中的复制,剪切函数,实现在WIN7系统下

最新推荐文章于 2019-08-19 02:16:00 发布
最新推荐文章于 2019-08-19 02:16:00 发布
阅读量1.5k 收藏 2
点赞数
这是我Hook Com IFileOperation口的DLL代码:
//IFileOPHook.h
#ifndef _H_IFILEOP_HOOK
#define _H_IFILEOP_HOOK
#ifdef __cplusplus
extern "C"
{
#endif
#include <windows.h>
typedef WCHAR WPATH[MAX_PATH];
enum OPTYPE
{
UNDEF = 0,
MOVE_FILE,
COPY_FILE,
DELETE_FILE,
NEW_FILE
};
typedef struct _FileOPItem
{
OPTYPE opType;
unsigned int srcCount;
WPATH* srcList;
WPATH dstFolder;
} FileOPItem, *PFileOPItem;
BOOL WINAPI HookIFileOp();
BOOL WINAPI UnhookIFileOp();
void WriteLog(char *fmt, ...);
#ifdef __cplusplus
}
#endif
#endif
// IFileOPHook.cpp
#include <shlwapi.h>
#include <shobjidl.h>
#include <stdio.h>
#include "IFileOPHook.h"
#pragma comment(lib, "shlwapi.lib")
#pragma warning(disable:4996)
static const IID CLSID_FileOperation = {0x3ad05575, 0x8857, 0x4850, {0x92, 0x77, 0x11, 0xb8, 0x5b, 0xdb, 0x8e, 0x09}};
static const IID IID_IFileOperation = {0x947aab5f, 0x0a5c, 0x4c13, {0xb4, 0xd6, 0x4b, 0xf7, 0x83, 0x6f, 0xc9, 0xf8}};
struct IFileOperation;
#define QueryInterface_Index 0
#define AddRef_Index (QueryInterface_Index + 1)
#define Release_Index (AddRef_Index + 1)
#define Advice_Index (Release_Index + 1)
#define Unadvise_Index (Advice_Index + 1)
#define SetOperationFlags_Index (Unadvise_Index + 1)
#define SetProgressMessage_Index (SetOperationFlags_Index + 1)
#define SetProgressDialog_Index (SetProgressMessage_Index + 1)
#define SetProperties_Index (SetProgressDialog_Index + 1)
#define SetOwnerWindow_Index (SetProperties_Index + 1)
#define ApplyPropertiesToItem_Index (SetOwnerWindow_Index + 1)
#define ApplyPropertiesToItems_Index (ApplyPropertiesToItem_Index + 1)
#define RenameItem_Index (ApplyPropertiesToItems_Index + 1)
#define RenameItems_Index (RenameItem_Index + 1)
#define MoveItem_Index (RenameItems_Index + 1)
#define MoveItems_Index (MoveItem_Index + 1)
#define CopyItem_Index (MoveItems_Index + 1)
#define CopyItems_Index (CopyItem_Index + 1)
#define DeleteItem_Index (CopyItems_Index + 1)
#define DeleteItems_Index (DeleteItem_Index + 1)
#define NewItem_Index (DeleteItems_Index + 1)
#define PerformOperations_Index (NewItem_Index + 1)
#define GetAnyOperationAborted_Index (PerformOperations_Index + 1)
typedef HRESULT (__stdcall* PCopyItems)(IFileOperation*, IUnknown*, IShellItem*);
typedef HRESULT (__stdcall* PMoveItems)(IFileOperation*, IUnknown*, IShellItem*);
typedef HRESULT (__stdcall* PPerformOperations)(IFileOperation*);
static PCopyItems CopyItems_old = NULL;
static PMoveItems MoveItems_old = NULL;
static PPerformOperations PerformOperations_old = NULL;
static BOOL gs_bHooked = FALSE;
static DWORD gs_opSlot = TLS_OUT_OF_INDEXES;
void WriteLog(char *fmt, ...)
{
FILE *fp;
va_list args;
if((fp = fopen("C:\\CopyAndMoveFile.log", "a+")) != NULL)
{
va_start(args,fmt);
vfprintf(fp, fmt, args);
fprintf(fp, "\n");
fclose(fp);
va_end(args);
}
}
static size_t WINAPI HookVtbl(void* pObject, size_t classIdx, size_t methodIdx, size_t newMethod)
{
size_t** vtbl = (size_t**)pObject;
DWORD oldProtect = 0;
size_t oldMethod = vtbl[classIdx][methodIdx];
VirtualProtect(vtbl[classIdx] + sizeof(size_t*) * methodIdx, sizeof(size_t*), PAGE_READWRITE, &oldProtect);
vtbl[classIdx][methodIdx] = newMethod;
VirtualProtect(vtbl[classIdx] + sizeof(size_t*) * methodIdx, sizeof(size_t*), oldProtect, &oldProtect);
return oldMethod;
}
static PFileOPItem GetOPItem()
{
if(!TlsGetValue(gs_opSlot))
{
PFileOPItem pfoi = new FileOPItem();
memset(pfoi->dstFolder, 0, MAX_PATH * sizeof(WCHAR));
pfoi->srcCount = 0;
pfoi->srcList = NULL;
pfoi->opType = UNDEF;
TlsSetValue(gs_opSlot, pfoi);
}
return (PFileOPItem)TlsGetValue(gs_opSlot);
}
static OPTYPE GetOPType()
{
return GetOPItem()->opType;
}
static void SetOPType(OPTYPE type)
{
GetOPItem()->opType = type;
}
// 获取一次文件操作中所有文件名
static UINT GetFilesFromDataObject(IUnknown *iUnknown, WPATH **ppPath)
{
UINT uFileCount = 0;
IDataObject *iDataObject = NULL;
HRESULT hr = iUnknown->QueryInterface(IID_IDataObject, (void **)&iDataObject);
do
{
if(!SUCCEEDED(hr))
{
break;
}
FORMATETC fmt = { CF_HDROP, NULL, DVASPECT_CONTENT, -1, TYMED_HGLOBAL };
STGMEDIUM stg = { TYMED_HGLOBAL };
if(!SUCCEEDED(iDataObject->GetData(&fmt, &stg)))
{
break;
}
HDROP hDrop = (HDROP)GlobalLock(stg.hGlobal);
if(hDrop == NULL)
{
break;
}
uFileCount = DragQueryFile(hDrop, 0xFFFFFFFF, NULL, 0);
if(uFileCount <= 0)
{
break;
}
*ppPath = new WPATH[uFileCount];
if(*ppPath != NULL)
{
for(UINT uIndex = 0; uIndex < uFileCount; uIndex++)
{
DragQueryFile(hDrop, uIndex, (*ppPath)[uIndex], MAX_PATH);
WriteLog("(*ppPath)[uIndex]=%s", (*ppPath)[uIndex]);
}
}
else
{
uFileCount = 0;
}
GlobalUnlock(stg.hGlobal);
ReleaseStgMedium(&stg);
} while (FALSE);
return uFileCount;
}
// 释放本线程的文件操作分配的内存
static void FreeOPItem()
{
PFileOPItem pfoi = GetOPItem();
if(pfoi->srcList)
{
delete[] pfoi->srcList;
pfoi->srcList = NULL;
}
pfoi->opType = UNDEF;
pfoi->srcCount = 0;
memset(pfoi->dstFolder, 0, MAX_PATH * sizeof(WCHAR));
}
static HRESULT __stdcall CopyItems_new(IFileOperation* pThis,
IUnknown* punkItems,
IShellItem* psiDestinationFolder)
{
LPWSTR lpDst = NULL;
psiDestinationFolder->GetDisplayName(SIGDN_FILESYSPATH, &lpDst);
HRESULT hr = S_FALSE;
PFileOPItem pfoi = GetOPItem();
do
{
OutputDebugStringA("COPY文件,从:");
OutputDebugStringW(lpDst);
char chDstFileName[256] = {0};
WideCharToMultiByte(CP_ACP, 0, lpDst, wcslen(lpDst) + 1, chDstFileName, 256, NULL, NULL);
WriteLog("CopyItems_new->lpDst:%s", chDstFileName);
pfoi->srcCount = GetFilesFromDataObject(punkItems, &(pfoi->srcList));
SetOPType(MOVE_FILE);
wcscpy(pfoi->dstFolder, lpDst);
hr = CopyItems_old(pThis, punkItems, psiDestinationFolder);
} while (FALSE);
if(!SUCCEEDED(hr))
{
FreeOPItem();
}
CoTaskMemFree(lpDst);
return hr;
}
static HRESULT __stdcall MoveItems_new(IFileOperation* pThis,
IUnknown* punkItems,
IShellItem* psiDestinationFolder)
{
LPWSTR lpDst = NULL;
psiDestinationFolder->GetDisplayName(SIGDN_FILESYSPATH, &lpDst);
HRESULT hr = S_FALSE;
PFileOPItem pfoi = GetOPItem();
do
{
OutputDebugStringA("MOVE文件,从:");
OutputDebugStringW(lpDst);
char chDstFileName[256] = {0};
WideCharToMultiByte(CP_ACP, 0, lpDst, wcslen(lpDst) + 1, chDstFileName, 256, NULL, NULL);
WriteLog("MoveItems_new->lpDst:%s", chDstFileName);
pfoi->srcCount = GetFilesFromDataObject(punkItems, &(pfoi->srcList));
SetOPType(MOVE_FILE);
wcscpy(pfoi->dstFolder, lpDst);
hr = MoveItems_old(pThis, punkItems, psiDestinationFolder);
} while (FALSE);
if(!SUCCEEDED(hr))
{
FreeOPItem();
}
CoTaskMemFree(lpDst);
return hr;
}
static HRESULT __stdcall PerformOperations_new(IFileOperation* pThis)
{
HRESULT hr = PerformOperations_old(pThis);
do
{
if(!SUCCEEDED(hr))
{
break;
}
OPTYPE type = GetOPType();
if(COPY_FILE != type && MOVE_FILE != type)
{
break;
}
OutputDebugStringA("确认文件操作。");
PFileOPItem pfoi = GetOPItem();
for(unsigned int i = 0; i < pfoi->srcCount; ++i)
{
WPATH dstPath;
wcscpy(dstPath, pfoi->dstFolder);
PathAddBackslashW(dstPath);
LPCWSTR tmp = (LPCWSTR)wcsrchr(pfoi->srcList[i], '\\');
wcscat(dstPath, ++tmp);
DWORD attrib = GetFileAttributesW(dstPath);
if(INVALID_FILE_ATTRIBUTES == attrib)
{
continue;
}
}
} while (FALSE);
FreeOPItem();
return hr;
}
BOOL WINAPI HookIFileOp()
{
WriteLog("Enter HookIFileOp");
void* pInterface = NULL;
CoInitialize(NULL);
HRESULT hr = CoCreateInstance(CLSID_FileOperation, NULL, CLSCTX_SERVER, IID_IFileOperation, &pInterface);
if(FAILED(hr))
{
return FALSE;
}
gs_opSlot = TlsAlloc();
if(TLS_OUT_OF_INDEXES == gs_opSlot)
{
return FALSE;
}
#define HOOK(a) \
a##_old = (P##a)HookVtbl(pInterface, 0, a##_Index, (size_t)a##_new); \
WriteLog("Before Hook CopyItems");
HOOK(CopyItems);
HOOK(MoveItems);
HOOK(PerformOperations);
WriteLog("Behind Hook PerformOperations");
#undef HOOK
return TRUE;
}
BOOL WINAPI UnhookIFileOp()
{
void* pInterface = NULL;
if(FAILED(CoCreateInstance(CLSID_FileOperation, NULL, CLSCTX_SERVER, IID_IFileOperation, &pInterface)))
{
return FALSE;
}
#define UNHOOK(a) \
if(a##_old) \
{ \
HookVtbl(pInterface, 0, a##_Index, (size_t)a##_old); \
} \
OutputDebugStringA("解HOOK");
UNHOOK(CopyItems);
UNHOOK(MoveItems);
UNHOOK(PerformOperations);
WriteLog("Behind unHook PerformOperations");
#undef UNHOOK
if(TLS_OUT_OF_INDEXES != gs_opSlot)
{
TlsFree(gs_opSlot);
gs_opSlot = TLS_OUT_OF_INDEXES;
}
return TRUE;
}

DLL模块还有一个文件,我接下来会上传
问题点数: 2分
0  0
引用  ・  举报  ・  管理
Java实现剪切复制粘贴功能(含不同文本域的判断)
CSDN推荐
CSDN今日推荐
文科升
Bbs1
结帖率 0%
回复于 2012-08-08 16:34:26  #1 得分:0
这是我DLL模块中的另外一个源文件:
//main.cpp
#include <windows.h>
#include "ifileophook.h"
#define IEQUALW(str1, str2) (str1 && str2 && (0 == wcsicmp(str1, str2)))
#pragma warning(disable:4996)
#pragma comment(linker, "/Section:.shared,RWS")
#pragma data_seg(".shared")
HHOOK g_oldHook = NULL; // CallNextHook
#pragma data_seg()
HMODULE g_hThisModule = 0; // 本模块句柄
static BOOL gs_bHooked = FALSE; // 是否HOOK
BOOL WINAPI IsProcessW(LPCWSTR procName)
{
wchar_t path[MAX_PATH] = {0};
GetModuleFileNameW(0, path, MAX_PATH);
wchar_t* tmp = (wchar_t*)wcsrchr(path, L'\\');
if(!tmp)
{
WriteLog("tmp is null and path:%s", path);
return FALSE;
}
tmp++;
return IEQUALW(tmp, procName);
}
void OnLoadDll()
{
if(IsProcessW(L"explorer.exe"))
{
WriteLog("IsProcessW(explorer.exe) success");
OutputDebugStringA("HOOK explorer.exe 的 IFileOperation");
gs_bHooked = HookIFileOp();
}
}
void OnFreeDll()
{
if(gs_bHooked)
{
OutputDebugStringA("解 explorer.exe 的HOOK");
UnhookIFileOp();
}
}
BOOL APIENTRY DllMain(HANDLE handle, DWORD dwReason, LPVOID reserved)
{
g_hThisModule = (HMODULE)handle;
switch(dwReason)
{
case DLL_PROCESS_ATTACH:
{
DisableThreadLibraryCalls(g_hThisModule);
OnLoadDll();
break;
}
case DLL_PROCESS_DETACH:
{
OnFreeDll();
break;
}
}
return TRUE;
}
LRESULT CALLBACK GlobalCBTHook(int nCode, WPARAM w, LPARAM l)
{
if(g_oldHook)
{
return CallNextHookEx(g_oldHook, nCode, w, l);
}
return 0;
}
BOOL WINAPI InstallGlobalHook()
{
g_oldHook = SetWindowsHookEx(WH_CBT, GlobalCBTHook, g_hThisModule, 0);
return TRUE;
}
void WINAPI UninstallGlobalHook()
{
if(g_oldHook)
{
UnhookWindowsHookEx(g_oldHook);
}
}
LRESULT CALLBACK WndProc(HWND hWnd, UINT msg, WPARAM w, LPARAM l)
{
if(WM_DESTROY == msg)
{
PostQuitMessage(0);
}
return DefWindowProcA(hWnd, msg, w, l);
}
void WINAPI EnterMessageLoop()
{
do
{
WNDCLASSEXA wcex = {sizeof(wcex)};
wcex.style = CS_HREDRAW | CS_VREDRAW;
wcex.lpfnWndProc = (WNDPROC)WndProc;
wcex.cbClsExtra = 0;
wcex.cbWndExtra = 0;
wcex.hInstance = g_hThisModule;
wcex.hIcon = LoadIcon(NULL, IDI_INFORMATION);
wcex.hCursor = LoadCursor(NULL, IDC_ARROW);
wcex.hbrBackground = (HBRUSH)GetStockObject(WHITE_BRUSH);
wcex.lpszClassName = "proclimitwnd";
if(!RegisterClassExA(&wcex))
{
break;
}
HWND hWnd = CreateWindowExA(0, "proclimitwnd", NULL, WS_OVERLAPPEDWINDOW,
0, 0, 50, 50, NULL, NULL, g_hThisModule, NULL);
if(!IsWindow(hWnd))
{
break;
}
UpdateWindow(hWnd);
MSG msg;
while(GetMessage(&msg, hWnd, 0, 0))
{
TranslateMessage(&msg);
DispatchMessageA(&msg);
}
} while (FALSE);
}
// 进入注入模式
__declspec(dllexport) void WINAPI EnterInjectMode()
{
if(!InstallGlobalHook())
{
return;
}
if(IsProcessW(L"rundll32.exe"))
{
EnterMessageLoop();
}
}
0  0
引用  ・  举报  ・  管理
Windows Hook经验总结之四:COM组件Hook原理及实践
文科升
Bbs1
结帖率 0%
回复于 2012-08-08 16:36:11  #2 得分:0
上面的DLL程序,编译一切正常,最后生成了fotracker.dll文件 。

这是我的EXE程序的代码:
#include "stdafx.h"
#include <Windows.h>
#include <atlstr.h>
typedef void (WINAPI *HOOKAPI)();
HINSTANCE hHookDllL;
HOOKAPI  m_hookProc;
int _tmain(int argc, _TCHAR* argv[])
{
//安装钩子
hHookDllL = LoadLibraryA("fotracker.dll");
m_hookProc = (HOOKAPI)GetProcAddress(hHookDllL,"EnterInjectMode"); //get pointer of proc
if (!m_hookProc)
{
CString str;
str.Format(_T("GetProcAddress(InstallHookProc) FAILED! ErrorCode: %d"),GetLastError());
OutputDebugString(str);
}
else
{
m_hookProc();
MessageBox(NULL, _T("安装钩子成功!"), _T("操作提示"), 0);
//卸载钩子
if(hHookDllL)
{
FreeLibrary(hHookDllL);
hHookDllL = NULL;
}
}
return 0;
}
0  0
引用  ・  举报  ・  管理
matlab文件复制、剪切、删除及caffe应用
文科升
Bbs1
结帖率 0%
回复于 2012-08-08 16:42:06  #3 得分:0
现在我遇到的问题是,当我的EXE执行
m_hookProc();
MessageBox(NULL, _T("安装钩子成功!"), _T("操作提示"), 0);
执行这代码后,设置断点,这是我在电脑中,做些复制,剪切的操作,可是我的日志文件里没有这些相关日志,只有OnLoadDll();执行后的几条日志,


if(IsProcessW(L"explorer.exe"))
{
   WriteLog("IsProcessW(explorer.exe) success");
   OutputDebugStringA("HOOK explorer.exe 的 IFileOperation");
   gs_bHooked = HookIFileOp();
}

也就是执行到IsProcessW(L"explorer.exe"),执行该函数后,条件不成立,程序就退出了,而且该函数只执行了3次。
BruceEditCode
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows Hook经验总结之四:COM组件Hook原理及实践
ITer之家
11-17 4969
前面已经介绍过API的hook方法及具体实践,本文则讲述COM组件的Hook方式。COM组件可简单理解为一个二进制可执行程序或DLL,内部包含一系列的接口和函数Hook COM本质上也是进行函数地址切换,让它跳到我们自定义的函数执行我们要的功能。但这一切同样是发生在系统架构下,自定义函数的执行时机不由我们触发。
如何分析解决COM接口IFileOperationhook去支持vista、win7、win8、win10 x86 x64系统
浪子_三少(邮箱:basketwill@qq.com)
08-03 4061
怎么进行COM接口IFileOperation hook我就不讲了,下面这个链接有讲解, http://blog.csdn.net/wzsy/article/details/17665311 ; 他的hook方法我实验了可用于win8、win10,包括x64位系统,但是他这个有个缺点是在获取源复制文件路径信息的时候,只适用于win7,不适用于win8、win10. 上面那个文章用的是
IFileOperation COM HOOK
08-03
IFileOperation COM HOOK代码实例 WIN7系统在explorer.exe操作文件都是调用IFileOperation COM接口,因此通用方法HOOK Win32 API 如DeleteFile就失去了作用该实例成功HOOK到了NewItem、RenameItem、RenameItems、MoveItem、MoveItems、CopyItem、CopyItems、DeleteItem、DeleteItems等接口备注: google您可以找到有关com hook代码实例,但存在两大问题: 1、只能hook一次,并且操作文件将失效 2、反注入后,explorer.exe直接奔溃该版本未修复这两个问题如果需要完整版本,请访问:http://www.csto.com/case/show/id:5177
Hook Com IFileOperation复制剪切函数
bruce135lee的专栏
08-03 833
这是我Hook Com IFileOperation口的DLL代码: //IFileOPHook.h #ifndef _H_IFILEOP_HOOK #define _H_IFILEOP_HOOK #ifdef __cplusplus extern "C" { #endif #include &lt;windows.h&gt; typedef WCHAR WPATH[MAX_PATH]; enum...
WIN7 下 explorer 进行的文件移动COPY HOOK
12-04 2284
在 WinXP 下通过HOOK explorer来截获用户的复制剪切粘贴是很容易的。只需要HOOK以下三个API: CopyFileExW, MoveFileWithProgressW, ReplaceFileW, 至于 MoveFileA等函数,最终也是调用这三个函数,这点可以通过用IDA反kernel32.dll分析得来。 但在WI
通过COM组件IFileOperation越权复制文件
bruce135lee的专栏
07-04 815
0x00 前言在之前的文章《Empire的Invoke-WScriptBypassUAC利用分析》曾介绍过一个越权复制文件的方法,在普通用户的权限下,利用wusa能够将cab文件释放至管理员权限的文件夹,进一步可以实现文件名劫持和UAC绕过。但该功能在Win10下被取消,那么有没有更为通用的方法呢?本文将要介绍一个适用于Win7-Win10的方法——利用COM组件IFileOperation0x...
Win7防止文件复制剪切
02-24
标题“Win7防止文件复制剪切”涉及到的是在Windows 7操作系统,通过编程手段阻止用户对特定文件或文件夹进行复制剪切操作的技术。这个技术主要利用了Windows API的钩子(HOOK)机制,特别是针对IFileOperation...
srcUDiskCpyManager_V2013_1012_1653.rar_dlp_hook_ifileoperation_w
09-21
防止向U盘拷贝文件, Hook Win32API, 实现在WinXp下U盘 DLP Hook函数列表:CopyFileExW Win7(x86/x64)下U盘DLP Hook函数列表: CoCreateInstance, IFileOperation::CopyItems IFileOperation::MoveItems ...
C++实现修改函数代码HOOK的封装方法
09-04
在C++函数代码HOOK是一种技术,允许程序员在运行时拦截并替换特定函数的执行,通常用于调试、性能分析或注入自定义行为。这里介绍的是一种C++实现函数HOOK封装方法,它涉及到以下几个核心知识点: 1. **函数...
简述hook,并且解释在Win32系统下,如何使用hook编程
04-22
### 简述Hook及其在Win32系统下的使用 #### 一、Hook的基本概念 Hook(钩子)是Windows操作系统提供的一种高级消息处理机制,它允许开发人员在其应用程序安装自定义的子程序来监视并拦截系统或进程间的消息传递...
hook COM接口 挂钩
03-30
环境:VS2008 语言:C++ 关于hookCOM接口的代码网上不多 结合自己找来的资料 写了一个简单demo 有兴趣的人 也可以参考OBS的游戏捕获实现 (传送:https://obsproject.com/)
hook技术实现在.net下hook 系统api
10-28
在.NET环境下,我们通常使用Windows API提供的SetWindowsHookEx函数来设置系统Hook,或者使用.NET Framework类库的委托和事件机制来实现用户界面(UI)级别的Hook。 一、Hook的基本原理 Hook的核心在于创建一个...
Want to through the Hook Com IFileOperation replication, shear function, realize
bruce135lee的专栏
07-04 296
This is my Hook Com IFileOperation DLL code://IFileOPHook.h#ifndef _H_IFILEOP_HOOK#define _H_IFILEOP_HOOK#ifdef __cplusplusextern "C"{#endif#include &lt;windows.h&gt;typedef WCHAR WPATH[MAX_PATH];enum...
COM HOOK的原理
UUcall007的专栏
07-23 1012
<br />主要思是改虚函数表,代码不长, 很容易看懂.嘿嘿.学了不少东西<br />#include <iostream.h> #include <windows.h> class mytest { public: mytest() { ZeroMemory(&mbi,sizeof(mbi)); dwOldProtect = 0; } ~mytest() { }; virtual fun1() { cout<<"fun1 called
IFileOperation实现复制文件时显示进度对话框
TU2的专栏
09-18 6714
前面介绍了使用API函数SHFileOperation实现复制文件时显示进度对话框 ,这里顺便简单介绍下使用IFileOperation实现复制文件时显示进度对话框这一功能。接口IFileOperationWindows用来替代SHFileOperation函数的,它提供了更强的功能和更安全的操作。由于很难找到关于IFileOperation的编程资料,只是稍微了解了下它的简单使用方法,个人觉得
基于EasyHook实现监控explorer资源管理器文件复制、删除、剪切等操作
weixin_30616969的博客
08-19 738
一、前言最近自己在研究一个项目,需要实现对explorer资源管理器文件操作的监控功能,网上找到一些通过C++实现Hook explorer文件操作的方法,由于本人习惯用.NET开发程序,加之C/C++基础较差,所以一直在研究如何用.NET实现,花了一周多的时间,终于基本实现了通过C# Hook资源管理器文件操作的功能,这里给出一些核心的内容,供大家参考。二、EasyHook1.简介Ea...
linux inline hook 内核函数系统调用函数的方式有那些
最新发布
05-19
在 Linux 内核,可以使用多种方式实现内核函数系统调用函数的 inline hook。以下是一些常见的方式: 1. 通过修改内核代码:可以直接在内核代码插入 hook 代码,但是需要重新编译内核并重启系统才能生效。 2. Kprobes:Kprobes 是内核提供的一种动态的代码注入技术,可以在内核运行时动态地修改内核函数。Kprobes 可以在内核函数执行前或执行后插入代码,并且支持在多个内核版本使用。 3. Ftrace:Ftrace 是内核提供的一种跟踪机制,可以用于内核函数hook。Ftrace 可以通过设置 tracepoints 或函数过滤器来实现 hook。 4. Uprobes:Uprobes 是内核提供的一种用户空间 probe 技术,可以用于系统调用的 hook。Uprobes 可以在系统调用执行前或执行后插入代码。 5. LKM(Loadable Kernel Module):LKM 是一种可以在运行时加载到内核的模块。可以通过编写一个 LKM 来实现内核函数hook,但是需要注意 LKM 的安全性问题。 总之,不同的 hook 方式有各自的优缺点和适用场景,需要根据具体情况选择合适的方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值