拦截API(修改函数地址方法)

最新推荐文章于 2021-06-16 21:21:31 发布
最新推荐文章于 2021-06-16 21:21:31 发布
阅读量1.9k 收藏
点赞数
分类专栏: 程序备忘 文章标签: api winapi byte access null dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/classfree/article/details/318464
版权

#include <windows.h>
#include <stdio.h>
#include <stddef.h>
#include <atlbase.h>
#include <ImageHlp.h>
#pragma comment(lib, "ImageHlp.lib")

#define HookExceptionNo 5

BOOL Init();

BOOL SysVer = true;
HMODULE g_hModule;
DWORD dwIdOld, dwIdNew;
//###############################################################
/* begin 这是拦截API所需要的代码*/
typedef struct
{
    FARPROC funcaddr;
    BYTE    olddata[5];
    BYTE    newdata[5];
}HOOKSTRUCT;
HOOKSTRUCT MessageA_API;

void Ring0WriteMemory(void *dst, void *src, int copySize)
{
    BYTE IDTR_1[6];
    DWORD OldExceptionHook;
    __asm
    {
        JMP __Continue
   
        Ring0Proc:

        PUSHAD
       
        MOV AX,30h     // 定义一个系统级别的数据段选择子
       
        MOV BX,DS      // 保存原DS与ES
        MOV DX,ES
       
        MOV DS,AX      // 修改DS与ES
        MOV ES,AX
       
        REP MOVSB      // 插入指令
       
        MOV DS,BX      // 复原DS与ES
        MOV ES,DX

        POPAD
       
        IRETD          //返回
   
        __Continue:
       
       
        SIDT FWORD PTR IDTR_1                    // 修改中断门
        MOV EAX,DWORD PTR IDTR_1+02h
        ADD EAX,HookExceptionNo*08h+04h
        CLI
       
       
        MOV ECX,DWORD PTR [EAX]                  // 保存原异常处理例程入口
        MOV CX,WORD PTR [EAX-04h]
        MOV OldExceptionHook,ECX
       
        LEA EBX,Ring0Proc                        // 指定新入口 
        MOV WORD PTR [EAX-04h],BX
        SHR EBX,10h
        MOV WORD PTR[EAX+02h],BX
       
        PUSHAD                                   // 配置参数
        MOV EDI,dst
        MOV ESI,src
        MOV ECX,copySize
       
        INT HookExceptionNo                      // 激活Ring0代码
        POPAD
       
        MOV ECX,OldExceptionHook                 // 复原入口
        MOV WORD PTR[EAX-04h],CX
        SHR ECX,10h
        MOV WORD PTR[EAX+02h],CX
       
        STI
    }    
}

 void HookOnOne(HOOKSTRUCT *hookfunc)
{
 if(SysVer)
 {
  HANDLE hProc;
  dwIdOld = dwIdNew;
  hProc = OpenProcess(PROCESS_ALL_ACCESS, 0, dwIdOld);
  VirtualProtectEx(hProc, hookfunc->funcaddr, 5, PAGE_READWRITE,&dwIdOld);
  WriteProcessMemory(hProc, hookfunc->funcaddr, hookfunc->newdata, 5, 0);
  VirtualProtectEx(hProc, hookfunc->funcaddr, 5, dwIdOld, &dwIdOld);
 }
 else
 {
  Ring0WriteMemory(hookfunc->funcaddr, hookfunc->newdata, sizeof(hookfunc->newdata));
 }
}
//---------------------------------------------------------------------------
void HookOffOne(HOOKSTRUCT *hookfunc)
{
 if(SysVer)
 {
  HANDLE hProc;
  dwIdOld = dwIdNew;
  hProc = OpenProcess(PROCESS_ALL_ACCESS, 0, dwIdOld);
  VirtualProtectEx(hProc, hookfunc->funcaddr,5, PAGE_READWRITE, &dwIdOld);
  WriteProcessMemory(hProc, hookfunc->funcaddr, hookfunc->olddata, 5, 0);
  VirtualProtectEx(hProc, hookfunc->funcaddr, 5, dwIdOld, &dwIdOld);
 }
 else
 {
  Ring0WriteMemory(hookfunc->funcaddr, hookfunc->olddata, sizeof(hookfunc->olddata));
 }
}

//获取被拦截函数信息
 BOOL hookapi(char *dllname, char *procname, DWORD myfuncaddr, HOOKSTRUCT *hookfunc)
{
    g_hModule = LoadLibrary(dllname);
    hookfunc->funcaddr = GetProcAddress(g_hModule, procname);
    if(hookfunc->funcaddr == NULL)
 {
  MessageBox(NULL, "获取原函数地址失败", "error", MB_OK);
        return false;
 }
 
    memcpy(hookfunc->olddata, hookfunc->funcaddr, 5);
    hookfunc->newdata[0] = 0xe9;
    DWORD jmpaddr = myfuncaddr - (DWORD)hookfunc->funcaddr - 5;
    memcpy(&hookfunc->newdata[1], &jmpaddr, 5);
    return true;
}

int WINAPI MyMessageBoxA(HWND hWnd,
      LPCTSTR lpText,
      LPCTSTR lpCaption,
      UINT uType)
{
 int runt;
 HookOffOne(&api_MessageBoxA);
 runt = ::MessageBoxA(hWnd, "拦截成功", lpCaption, uType);
 HookOnOne(&api_MessageBoxA);

 return runt;
}

BOOL Init()                                                                                                                                                                         {
 hookapi("user32.dll", "MessageBoxA", (DWORD)MyMessageBoxA, &api_MessageBoxA);   

HookOnOne(&api_MessageBoxA);                        

}

BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved)
{
 OSVERSIONINFO verinfo;
 verinfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
 switch (ul_reason_for_call)
    {
 case DLL_PROCESS_ATTACH:
  dwIdNew = GetCurrentProcessId();
  GetVersionEx(&verinfo);
  if(verinfo.dwPlatformId == VER_PLATFORM_WIN32_NT)
   SysVer = TRUE;
  else
   SysVer = FALSE;

    return Init() ;
  break;
 case DLL_PROCESS_DETACH:
  if(g_hModule != NULL)
   FreeLibrary(g_hModule);
  break;
 }
    return TRUE;
}


classfree
关注
专栏目录
用户层下拦截系统api的原理与实现
默数悲伤
04-15 2098
  写这篇文章是为了复习一些知识,最近在做毕业设计,之中大量地使用了这种技术,主要是用在拦截winsock函数,对于其他系统api,其效果也是一样的.  拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改拦截api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要
用HOOK来修改API函数的功能(2)-创建文件
weixin_34124651的博客
06-20 276
上次写了如何使用HOOK的方法修改API函数的功能,来对注册表进行保护。对于对注册表操作的函数还有ZwDeleteKey、ZwDeleteValueKey、ZwOpenKey等等,对这些函数的HOOK和我上面写的方法是一样的。今天我来写一下如何对文件操作的API函数来HOOK。在我们编程中经常使用CreateFile函数来创建文件。其实对于系统来说,当我们使用右键点击并选择“新建”中的创建文件的时...
用HOOK来修改API函数的功能(1)-注册表
weixin_33969116的博客
06-15 216
  我们知道编程实际上是使用各种API函数来达到我们想要的目的。换句话说就是API函数是我们通常编程时使用到的最底层函数。很多人也觉得除了API函数微软没有在提供其它的编程接口。其实微软出了提供API函数意外还提供了另外的一套函数,不过这些函数会随着操作系统的不同有细微的改变。由于这些函数是如此的“不稳定”,所以微软并没有将它们文档化。我们称之为“未文档化函数”。我们通常使用的API函数其实都是...
用HOOK来修改API函数的功能(4)-环境搭建
weixin_34174105的博客
07-05 137
上面的3篇文章已经大概的讲述了HOOK API的编写方法,可是如何让它们真正的运行起来呢?这就需要搭建环境,而这个环境你必须使用DDK。我在这里假设你已经安装了DDK,并且会使用DDK来编译一个WDM驱动程序。这里我要说的是如何在代码中将我上面的3篇文章中讲到的功能串在一起,以及编写WDM驱动程序所需要的Sources文件。我的Sources文件是这样写的:TARGETNAME=TestDrive...
拦截API
anyisoft的专栏
04-25 1332
上面说了,使用SOCK_RAW 截获报文受挫,因此考虑直接拦截通过send、recv 处理的数据。 总的说来,有3 种方法: 1,动态修改send、recv 开始的代码,跳转到自己写的处理函数中; 2,使用DetoursAPI; 3,修改IATEntry; 因为开始参考了  http://wenku.baidu.com/view/7f4928a30029bd64783e2c99.htm
API拦截 API拦截
03-18
API拦截 API拦截API拦截API拦截API拦截API拦截
API函数拦截例子 skykernel.rar_API拦截_api 拦截_拦截 API_拦截sky
最新发布
09-23
这些方法都可以实现在不修改原始代码的情况下,对API调用进行拦截和处理。 以“skykernel.c”为例,这可能是一个实现了API拦截功能的C语言源代码文件。在代码中,可能会定义一个钩子函数,当目标API被调用时,该...
VB如何拦截API调用.apihook钩子
03-28
在这个“VB如何拦截API调用.apihook钩子”的项目中,我们可以看到一系列的VB文件,它们共同实现了一个API Hook的示例。 1. **Module1.bas** 和 **Module2.bas**: 这两个模块可能包含了VB代码,用于实现API Hook的...
API_NET.rar_api 拦截_delphi hook recvfr_delphi 拦截_拦截 delphi_拦截 函数
09-21
拦截API函数在Delphi中通常通过钩子(hook)技术实现,钩子可以理解为一种插件机制,允许程序在特定事件发生时执行自定义代码。 首先,我们需要了解如何在Delphi中设置API钩子。这通常涉及以下几个步骤: 1. 定义...
测试API系统函数拦截
09-22
二是通过注入DLL(动态链接库)来拦截API调用。对于`FlashWindow`这样的函数,我们可能选择后者,因为这样可以对所有进程的`FlashWindow`调用进行拦截,而不仅仅是当前进程。 具体步骤如下: 1. 编写一个DLL,其中...
API拦截 一个完整的例子 源码
01-04
一个完整的例子全局拦截API,十分强大,
HookApi拦截
10-11
通过Hook 拦截API教程
HDHook(附源码)HookAPI改变硬盘串号和MAC地址
05-18
VC++源码 一个使用detours来HookAPI的简单例子 DeviceIoControl获取硬盘串号 GetAdaptersInfo获取MAC Hook这两个API改变获取的硬盘串号和MAC地址 HDHook工程 生成dll GetHDDSN工程 载入生成的dll 获取硬盘串号和MAC地址 需要自行安装detours
Windows系统API函数拦截技术研究
07-31
Windows系统API函数拦截技术研究
apihook钩子拦截API函数调用之消息框MessageBoxExA.zip
03-28
在IT领域,API钩子(apihook)是一种技术,它允许开发者拦截系统API...在案例"apihook钩子拦截API函数调用之消息框MessageBoxExA.zip"中,我们可以通过分析和运行提供的代码,深入了解API钩子的工作原理和实践方法
实现拦截API的钩子(Hook)
bdmh的专栏
12-29 4661
道理不多讲,简单说就是将系统API地址,替换为我们自己写的API地址,所以要求我们自定义的API函数要和被拦截API有相同的参数。在用完后,记得恢复。因为要挂全局的钩子,所以Hook的部分,做成DLL。Hook.DLL主工程文件代码library Hook; uses SysUtils, Windows, Classes, ApiDefine in 'ApiDefine.pas', APIHook in 'APIHook.pas'; {$R *.res} v
SetHook ,修改dll中的api函数
ellis993的博客
06-16 361
#include<Windows.h> #include <stdio.h> BOOL SetHook(HMODULE hMod); void ProcessNameList(HMODULE hMod); typedef int(WINAPI* NewMessageBox)(HWND, LPCSTR, LPCSTR, UINT); PROC g_proc = (PROC)MessageBoxA; //取messagebox的名称 void main() { Proces.
11 拦截API
LIJIWEI0611的博客
02-17 366
原理 代码 导出地址表 Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成.其中导入地址表就指示函数实际地址。 testdll工程 target.h #pragma once extern "C" { __declspec(dlle.
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
Detours技术详解:动态拦截Windows API函数的实用库
Detours是一种强大的Windows平台上的技术,专用于在运行时拦截修改Win32二进制程序中的API函数。它由两大部分组成:API调用的截取和API函数的重定向,其核心原理是通过动态地替换目标函数的初始指令来实现功能的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值