HOOK WINDOWS API 一例

最新推荐文章于 2023-03-06 14:34:44 发布
最新推荐文章于 2023-03-06 14:34:44 发布
阅读量1.5k 收藏
点赞数
分类专栏: C & VC & WIN32API 文章标签: hook windows null descriptor dll import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hcmsxy/article/details/2669701
版权 
 
// godll.cpp : 定义 DLL 应用程序的入口点。
//

#include "stdafx.h"
#include 
 
 
  
  
#pragma   comment(lib,"ImageHlp.lib")

 

#pragma data_seg(".mydata")
POINT g_point;
int g_px=-1;
int g_py=-1;
#pragma data_seg()
#pragma comment(linker, "/SECTION:.mydata,rws")

HANDLE g_hInstance = NULL;
PROC bak_addr = NULL;

 

 
BOOL WINAPI MyGetCursorPos(
  LPPOINT lpPoint   // address of structure for cursor position
  ){
   if(g_px == -1 ){
    typedef BOOL (WINAPI *OldGetCursorPosFun)(LPPOINT);
    OldGetCursorPosFun ofun = (OldGetCursorPosFun)bak_addr;
    ofun(lpPoint);
   }else{
    lpPoint->x = g_px;
    lpPoint->y = g_py;
   }

   return TRUE;
}

 


extern "C" __declspec(dllexport)
void GetPoint(LPPOINT p){
 p->x = g_px;
 p->y = g_py;
}


extern "C" __declspec(dllexport)
void SetPoint(LPPOINT p){
 g_px = p->x;
 g_py = p->y;
}

 

 


//hook api
//PCSTR modelStr : model 名称. 如 NULL 、 objsys.dll
//PCSTR byHookDllStr: model 内的 dll 名称. 如User32.dll
//PCSTR byHookFunStr: 被hook api 的名称
//PROC pfnNew  : 替代函数的地址
//返回旧函数 的址。
//extern "C" __declspec(dllexport)
PROC HookApi(PCSTR modelStr , PCSTR byHookDllStr , PCSTR byHookFunStr , PROC pfnNew){

 //读取 model 基地址
 LPVOID base = (LPVOID)GetModuleHandleA(modelStr);
 if(base == NULL){
  //MessageBoxA(NULL,"find model base addr err!",modelStr,0);
        return NULL;
 }
 
 //找到该 dll 的IAT
 ULONG ulSize;
 PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(base,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&ulSize);

 if( pImportTable == NULL ){
  MessageBox(NULL,L"pImportTable is null",NULL,0);
        return NULL;
 }

 //在 ImportTable 中 找到需要  hook 的 dll
    for(;pImportTable->Name;pImportTable++){
        PSTR pszModName = (PSTR) ( (PBYTE)base + pImportTable->Name );
        if( lstrcmpiA( pszModName, byHookDllStr ) == 0 )
   break ; // if found
    }

 if( pImportTable->Name == 0 ){
  MessageBoxA(NULL,"not found by hook dll. ",byHookDllStr,0);
        return NULL;
    }

 PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((PBYTE)base + pImportTable->OriginalFirstThunk);
 PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA) ( (PBYTE)base + pImportTable->FirstThunk );
    for( ;pThunk->u1.Function;pThunk++,pOrigThunk++){
  PROC *ppfnEntry = (PROC*) &(pThunk->u1.Function);
  PROC bak = (PROC)(*ppfnEntry);

  PIMAGE_IMPORT_BY_NAME pByName =(PIMAGE_IMPORT_BY_NAME)((PBYTE)base + pOrigThunk->u1.AddressOfData);
  if(lstrcmpiA((char*)pByName->Name , byHookFunStr) == 0) {

   MEMORY_BASIC_INFORMATION memInfo; 
   VirtualQuery( ppfnEntry, &memInfo, sizeof( memInfo ));

   DWORD dwOldProtect = 0;
   if(VirtualProtect(memInfo.BaseAddress,memInfo.RegionSize,PAGE_READWRITE,&dwOldProtect)==0){
    MessageBox(NULL,L"VirtualProtect[1] is Err!",NULL,0);
    return NULL;
   }
    
   if(WriteProcessMemory(GetCurrentProcess(),ppfnEntry,&pfnNew,sizeof(pfnNew),NULL) == 0){
    MessageBox(NULL,L"WriteProcessMemory Err!",NULL,0);
   } 
    
   if(VirtualProtect(memInfo.BaseAddress,memInfo.RegionSize,PAGE_READONLY,&dwOldProtect )==0){
    MessageBox(NULL,L"VirtualProtect[2] is Err!",NULL,0);
   }  
 
   return bak;
        }  
    }

 //MessageBox(NULL,L"not found PIMAGE_THUNK_DATA",NULL,0);
 return NULL;
}

 

 


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  reason,
                       LPVOID lpReserved
      )
{

 switch (reason){

  case DLL_PROCESS_ATTACH:

   g_hInstance = hModule;
   if(bak_addr==NULL){
    bak_addr = HookApi("objsys","user32.dll","GetCursorPos",(PROC)MyGetCursorPos); 
    //bak_addr = HookApi(NULL,"user32.dll","GetCursorPos",(PROC)MyGetCursorPos); 
   }
    
   break;

  case DLL_PROCESS_DETACH:   //当 dll 卸载 时 需要恢复, 原 dll 功能地址
   if(bak_addr!=NULL){
    //HookApi(NULL,"user32.dll","GetCursorPos",bak_addr); 
    HookApi("objsys","user32.dll","GetCursorPos",bak_addr); 
    bak_addr = NULL;
   }
   break;
 }

 return TRUE;
}
hcmsxy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API-HOOK.rar_Hook windows api
09-24
windows基于API的钩子技术案例,visual c++ 6编译坏境
HOOK IAT 代码示例
S1lenc3的博客
07-11 89
// include #include "stdio.h" #include "wchar.h" #include "windows.h" // typedef typedef BOOL(WINAPI* PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString); // globals FARPROC g_pOrgF...
Windows HOOK钩子技术
qq_43812868的博客
10-25 2401
Windows HooK钩子技术是指基于Windows中窗口的程序的消息处理里机制,对系统或者进程中的消息进行截获和处理,并将截获和处理的消息在重新处理和发送,使其可以实现不同的功能。 钩子技术分为系统钩子技术和线程钩子技术 系统钩子:是用于监视真个系统中的消息的钩子技术,因为系统钩子会影响系统中所有的应用程序,所以钩子函数必须放在独立的动态链接库(DLL) 中。做好之后使用其他程序将钩子挂载到系统的进程中。 线程钩子:指的是对指定线程进行监视。 钩子原理 在使用钩子技术的时候,WINDOWS会先在内存中创
工作中遇到的问题 -- Go暴力拦截函数库gohook
qq_61039408的博客
03-06 583
运行时替换函数对Golang这类静态语言来说并不是一件容易的事情,语言层面的不支持导致只能机器码层面做些奇怪hack,往往艰难,但如能成功,那挣脱牢笼带来的成就感,想想就让人兴奋。gohook实现了对函数的暴力拦截,无论是普通函数,还是成员函数都可以强行拦截替换,并支持回调原来的旧函数。trampoline。
黑客技术:利用Hook技术实现键盘监控(转)
cuankuangzhong6373的博客
12-29 864
 在许多系统中,出于安全或其它原因,常常要求随时对键盘进行监控,一个专业的监控程序必须具备两点,一是实时;二是作为指示图标运行。实际应用中把利用Hook(即钩子)技术编写的应用程序添加到Windows的任务栏的指示区中就能够很好...
hook windows api小测试
07-28
hook windows api 的小测试 用win32汇编写的,是hook messagebox的小测试
Hook Windows API
03-14
修改API函数前5个字节为一条jmp指令,跳转到自己写的Hook_api,实现hook系统api函数
Windows miniHook hookapi demo
09-14
Windows miniHook hookapi demo
Hook windows native API 的示例源代码
01-25
Hook windows native API
API HOOK 全局钩子, 防止进程被杀
03-22
API拦截 防止进程被控制台杀死. 用的是全局钩子 通过修改进程的导入表修改OpenProcess的地址指向我们自定义的函数
通过hook技术,模拟鼠标的操作
11-07
通过hook windows的鼠标消息,实现拦截以及模拟鼠标动作
测试11_hookapi_TerminateProcess_pleasurejx5_源码
10-04
使用EasyHook列举实例,加深对齐理解。
通过内核HOOK处理某个进程对SetCursorPos的调用
wei5635607的博客
11-28 2457
最近打开一个游戏,发现该游戏不断调用SetCursorPos这个函数,所以想着在内核中PASS掉它,经过两周断断续续的研究,终于在今晚成功PASS掉它。 经过两周断断续续的查资料,看视频,分析,终于达到目的。 关于鼠标的处理: 获得鼠标的位置函数GetCursorPos,设置鼠标的位置SetCursorPos 获得暂且不分析,这里只说SetCursorPos,其实这两个也是异曲同工。 S
GetCursorPos获取鼠标坐标
无知人生,记录点滴
06-19 8763
GetCursorPos(&point); CRect rc; rc.left=0; rc.top=70; rc.right= rc.left+50; rc.bottom= rc.top+200; if(rc.PtInRect(point)) { Cffdlg *pki=new Cffdlg; p
Windows API Hook
最新发布
03-20
Windows API Hook 是一种技术,可以通过修改或替换 Windows 操作系统中的 API 函数来实现对系统行为的控制和监视。这种技术通常用于软件开发、安全研究和恶意软件分析等领域。如果您需要更具体的信息,可以参考相关...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值