EasyHook库的使用

最新推荐文章于 2024-05-11 10:07:00 发布
最新推荐文章于 2024-05-11 10:07:00 发布
阅读量1.4k 收藏 3
点赞数

导语###

EasyHook的官网,最近在做的项目中,因为要去过滤掉cmd的弹框,所以用到了这个库,
在使用的过程中,遇到了一些坑,然后也解决了一些问题,特再次记录下来,方便自己以后查阅

1.了解####

首先我查找了网上的相关资料,都查的有点晕了,但有用的就那么几个,其它的就是引用这个几个例子,这样感觉效率不高,后面我还是先参照了官网的例子,才觉得真正对easyhook有了一个全面的了解。这个经验告诉我,在资料不够详尽的前提下,官网的例子才是更加靠谱的。easyhook提供了2种方式,一种是直接调用的方式,还有一种就是远程注入(也就是常说的dll注入),

2. 实践####

按照官网给的说明,完全copy里面的例子,实现了教材里的说明,对这个的作用有了一个很直观的感受,然后参照实际的使用需求,在例子的基础上做了修改,测试了自己要做的修改,确实可行。

3. 与项目结合####

  1. 项目需求点:公司产品前端使用的是NW框架,里面用的是chrome的内核,现在要做一个功能,需要升级,但是升级后不再支持 NPAPI 类型的插件,但支持PPAPI,但是这个时候出现一个问题,加载含有flash插件页面时,CMD命令行窗口会闪一下,要做到能加载flash插件,但是CMD命令行窗口不能闪。
  2. 解决:发现是命令行参数是not sandboxed时,通过hook截掉。
  3. 集成:按照例子中的代码,进行测试,发现既然不能拦截,郁闷啊,刚开始以为是注入失败,后面加了log,才发现,注入是成功的,失败的原因是因为NW刚起来的固定有几个进程,当弹CMD框的时候,会额外起进程,而我写的注入程序只注入了NW刚起来的程序,没有抓额外的进程,所以失败了,现在问题来了,怎么获取这个会弹cmd框的子进程呢?想了好久,没有找到合适的方法,后面想着只能去改NW的源码了,唉~~~
  4. 新的希望:后面我的同事有空,他就帮我看起来了,他比较厉害,他想到可以先hook起子进程的命令,然后在给这个子进程注入,去屏蔽掉
    not sandboxed,我就没有想到。然后安装这个思路,就往下做,这里都是hook了kernel32的CreateProcess方法,因为程序区分了宽字节和窄字节,所以要hook CreateProcessA和CreateProcessW这个二个,要确认你注入的程序是64位还是32位,然后注入相应版本的dll

问题点记录:

  1. LhSetExclusiveACL和LhSetInclusiveACL的区别
    LhInstallHook与LhSetExclusiveACL/LhSetInclusiveACL必须配对出现,否则hook不会生效,我在做测试的时候,发现我配对
    使用了,但是尽然还是没效果,找了好久,后面才发现,是因为我没有搞清楚LhSetExclusiveACL和LhSetInclusiveACL,LhSetExclusiveACL是hook除了当前线程外的所有线程,而LhSetInclusiveACL是可以针对当前线程,所以如果单独起了线程去执行hook的操作,那这样必须使用LhSetExclusiveACL,如果没有起线程,直接执行hook,那必须使用LhSetInclusiveACL。
  1. EasyHook可以支持远程注入
  2. 在查看新东西的时候,官方文档很重要,先参照官方文档的例子,可以节约很多时间
  3. hook的时候要确定你注入的是64位还是32位



 

BruceEditCode
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EasyHook(一)
weixin_30616969的博客
08-16 3025
前言   在说C# Hook之前,我们先来说说什么是Hook技术。相信大家都接触过外挂,不管是修改游戏客户端的也好,盗取密码的也罢,它们都是如何实现的呢?   实际上,Windows平台是基于事件驱动机制的,整个系统都是通过消息的传递来实现的。当进程有响应时(包括响应鼠标和键盘事件),则Windows会向应用程序发送一个消息给应用程序的消息队列,应用程序进而从消息队列中取出消息并发送...
C#easyHook使用demo
08-14
EasyHook使用C#编写,提供了简单易用的API,使得开发者可以方便地创建自定义的钩子,从而在目标进程中插入自己的代码逻辑。 在C# EasyHook使用中,首先你需要理解什么是钩子(Hook)。钩子是Windows操作系统...
Easyhook示例教程
06-08
EasyHook使用教程网上几乎没有,找了好久最后只好自己爬官网了,本教程包含两部份示例源码,收集来源官方网站。
easyhook使用例子
07-19
easyhook的简单使用方法,含源码解释,简单明了
推荐使用EasyHook - 简化Windows API 钩子的革命性框架
最新发布
gitblog_00096的博客
05-11 553
推荐使用EasyHook - 简化Windows API 钩子的革命性框架 项目地址:https://gitcode.com/EasyHook/EasyHook 1、项目介绍 欢迎来到 EasyHook 的世界——这是一个重新定义Windows API钩子机制的开源。它允许你在完全托管的环境中,用纯托管代码扩展(钩住)未管理代码(即API),支持从32位到64位的各种Windows系统,包括...
C#使用EasyHook学习第一弹
qq_41708056的博客
02-05 2951
喜欢用C#开发,但API这块是弱项。 EasyHook能在C#语言下Hook系统API,值得学习。 今天第一课,照抄官方例子: 1,建立控制台工程 2,工程导入EasyHook(需要装Nuget,过程略) 搜索EasyHook并安装即可 3,把官方例子粘到代码里 http://easyhook.github.io/tutorials/createlocalhook
EasyHook试用
weixin_33728268的博客
09-30 698
2019独角兽企业重金招聘Python工程师标准>>> ...
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态和Inject.exe注入程序。 Hook.dll动态封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModuleName) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModuleName, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
C#EasyHook_easyhook_
10-03
C# EasyHook】是一个强大的,用于在.NET Framework中实现远程函数调用(RDI,Remote Function Invocation)和钩子技术。EasyHook为开发者提供了一种高效、稳定且易于使用的解决方案,允许他们在运行时拦截和修改...
C#使用EasyHook注入简单案例
04-27
本案例主要讲解如何使用C#结合EasyHook来实现简单的程序注入。 首先,让我们了解一下EasyHook的基本概念。EasyHook是一个跨平台的,它提供了创建本地和远程钩子的能力。钩子是一种技术,可以让开发者在特定事件...
EasyHook源码
08-23
它会执行一系列命令来编译源代码,创建NuGet包或其他形式的部署包,使得其他项目可以方便地引用和使用EasyHook。 2. `clean.bat`: 另一个批处理脚本,其作用是清理编译过程中产生的临时文件和输出,保持工作目录...
EasyHook 2.7 c#非常简单的HOOK处理类
06-06
c#非常简单的HOOK处理类,可用于托管和非托管的hooK技术
C# EasyHook MessageBox 完整示例(绝对原创) .net4.0 支持 x86 x64
09-28
C# 最简单使用 EasyHook 源码,极简而全,Hook入门者,让大家都会Hook。支持注入托管非托管程序,32位和64位程序,windows 10 x64 调试通过。
EasyHook实例源码C#
05-29
C#开发用的 EasyHook 组件 本人用过,亲自测试过有用。 上传分享给大家使用。里面有C#实例源码
[C#] Easy Hook Library
Cloud Hsu的专栏
07-13 7673
简介.NET似乎都没有比较好用的Hook,那就只好自己来做一个。设计概念原先我只是想将Hook的API做一些简单的封装,将其封装成一个Hook类,做一做发现其实Hook其实也不多,那乾脆先用enum将所有的hook type(参考:http://msdn.microsoft.com/en-us/library/ms644959%28v=vs.85%29.aspx)一并声明好了因此我利用Dict
EasyHook系列使用教程之四钩子的启动与停止
aoe41606的博客
03-23 444
此文的产生花费了大量时间对EasyHook进行深入了解同一时候參考了大量文档 先来简单比較一下EasyHook与Detour钩取后程序流程 Detours:钩取API函数后。产生两个地址,一个地址相应真Hook函数地址。一个相应真实API地址 EasyHook:钩取...
EasyHook - Documentation
bruce135lee的专栏
08-03 317
EasyHook - Documentation The reinvention of Windows API Hooking Home | Downloads | Documentation | TutorialsView on GitHub Getting Started The easiest way to get started with EasyHook is to instal...
攻防世界逆向高手题之EASYHOOK
沐一 · 林 的博客
08-25 2310
攻防世界逆向高手题之EASYHOOK 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的EASYHOOK 这是我第一次遇到HOOK类型的题目,我很是兴奋,我也花了相当长的时间才把该HOOK流程全部弄懂,希望能给日后更多经验。 直接入重点,打开IDA查看main函数,具体分析我写在代码里: sub_401370(aPleaseInputFla); scanf("%31s", input_flag); if ( strlen(input_flag) == 19 ) { sub_4
c语言easy hook
11-18
C语言的Easy Hook是一个用于Windows操作系统的钩子。钩子是一种在操作系统中捕获和拦截特定事件的技术,Easy Hook便是一个简单易用的工具,用于在C语言中实现钩子功能。 使用Easy Hook,我们可以通过在目标进程中注入我们自己的代码来实现钩子功能。这些代码可以捕获并修改系统事件,从而实现我们自己的逻辑。Easy Hook提供了一组API,允许我们进行远程线程注入、函数Hook以及内存操作等。 对于远程线程注入,Easy Hook提供了函数CreateAndInject(),我们只需要传入目标进程ID和我们自己的DLL路径即可,Easy Hook会自动完成注入的过程。函数Hook可以通过使用Easy Hook提供的函数来替换目标函数的指针,从而将目标函数的调用重定向到我们的逻辑代码中。内存操作则允许我们读取或修改目标进程的内存数据,以实现更高级的功能。 总之,Easy Hook是一个非常方便和易用的C语言,可以帮助我们在Windows操作系统上实现钩子功能。无论是用于调试和修改目标程序,还是用于实现一些特殊的需求,Easy Hook都可以为我们提供简单而有效的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值