关于文件读写的监控, 通过APIHOOK来实现

最新推荐文章于 2024-07-09 17:12:05 发布
最新推荐文章于 2024-07-09 17:12:05 发布
阅读量6.9k 收藏 8
点赞数 1
分类专栏: C/C++ 文章标签: API Hook 文件加密 数据加密 文件监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hujkay/article/details/6083443
版权
为了在程序读写加密文件时进行监控,避免敏感数据存入磁盘,可以利用API Hook技术。通过在文件操作API上下钩子函数,确保解密数据仅在内存中处理。本文作者分享了封装API Hook的代码,并提供了相关参考资料,欢迎反馈问题。
摘要由CSDN通过智能技术生成



   有的时候,我们需要对程序读写文件的时候进行监控,尤其是文件的数据是保密的,而且不能直接存储在磁盘上。举个最简单的例子来说,当我们有个文件在磁盘上,而这个文件是加密的,这时候在程序打开文件的时候,通过输入密钥进行解密了,但是这些解密了的数据,是不能写回磁盘的,只能放在RAM中,这时候如果程序想通过正常的文件操作来访问数据的话,那么这就需要我们来对这个文件操作的API下钩子函数了。

 

   对于钩子函数的介绍,可以通过下面的几篇文章来了解,前提是必须了解PE格式中的输入表区块内容。

  1.  http://zhidao.baidu.com/question/56417343.html

  2. http://baike.baidu.com/view/1037259?wtp=tt-

  3. http://zhidao.baidu.com/question/5555707.html

等等,百度上一大相关文章。

 

在网上看了不少这方面的资料,发现很多东西写的都好散,没有封装起来,因此我就花了点功夫,把它封装了起来,还没完全测试,先把代码共享一下,如果各位有什么bug的话,请留言,我会尽快改进的。

 

--------------------------------------------

-------------   HooAPI.h -----------------

--------------------------------------------

 

#pragma once
#include<vector>
#include "Toolhelp.h"
 
struct HookAPIEntry{
 // 这个是模块的名字,比如usr32.dll
 CString  strMoudleName ;
 // 这个是需要下钩子的API函数
 CString  strFunctionName ;
 // API函数的原始地址
 PROC  pOriginalProc ;
 // API函数的新地址
 PROC  pNewProc ;
 HookAPIEntry(){
  pOriginalProc = pNewProc = NULL ;
 };
};
typedef HookAPIEntry * PHookAPIEntry ;
typedef HookAPIEntry * LPHookAPIEntry ;
typedef std::vector<PHookAPIEntry> HookAPIEntryList ;
typedef HookAPIEntryList * PHookAPIEntryList ;
typedef HookAPIEntryList * LPHookAPIEntryList ;
typedef std::vector<PHookAPIEntry>::iterator HookAPIEntryPos ;
class CHookAPI
{
public:
 CHookAPI(void);
 ~CHookAPI(void);
public:
 // 对钩子函数列表的操作
 HRESULT  AddHookAPIEntry(const HookAPIEntry & entry ) ;
 HRESULT  AddHookAPIEntry(CString strMoudleName,CString strFunctionName,PROC pNewProc) ;
 HRESULT  FindHookAPIEntry(CString strMoudleName,CString strFunctionName,LPHookAPIEntry * pResult);
 HRESULT  DeleteHookAPIEntry(CString strMoudleName,CString strFunctionName) ;
 HRESULT  ClearAllAPIEntry( void ) ;
 HRESULT  ReHookAllMoudleAPI( void ) ;
 HRESULT  UnHookAllMoudleAPI( void ) ;
 
 HRESULT  GetHookAPIEntryByNewAddress(PROC pNewAddress,LPHookAPIEntry * pResult) ;
protected:
 HRESULT  HookMoudleAPI(const HookAPIEntry & hookentry);
 HRESULT  UnHookMoudleAPI(const HookAPIEntry & hookentry);
 HRESULT  HookMoudleAPI(HMODULE hmoudle,const HookAPIEntry & hookentry);
 HRESULT  UnHookMoudleAPI(HMODULE hmoudle,const HookAPIEntry & hookentry);
 HRESULT  ReplaceMoudleAPI(HMODULE hmoudleCaller, const CString &strMoudleName,
  PROC pCurAddress,PROC pNewAddress);
 HRESULT  GetProcessAddress(const CString &strMoudleName,const CString &strFunctionName,
  PROC * pAddress ) ;
 HRESULT  UpdateOriginalProc( HookAPIEntry & hookentry);
protected:
 // 需要下钩子的函数集合
 HookAPIEntryList   m_HookAPIEntryList ;
 // 系统的信息
 SYSTEM_INFO     m_si;
};

--------------------------------------------

-------------   HooAPI.cpp -----------------

--------------------------------------------

#include "StdAfx.h"
#include "HookAPI.h"
#include "Dbghelp.h"
#pragma comment(lib , "imagehlp.lib")
#pragma comment(lib , "Dbghelp.lib")
CHookAPI::CHookAPI(void)
{
 GetSystemInfo(&m_si) ;
}

CHookAPI::~CHookAPI(void)
{
}

HRESULT CHookAPI::AddHookAPIEntry(const HookAPIEntry & entry ) {
 // 已经存在了,就不用添加了
 if( S_OK == FindHookAPIEntry(entry.strMoudleName,entry.strFunctionName,NULL ) )
最低0.47元/天 解锁文章
天天睡懒觉的墨鱼
关注
专栏目录
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
APIHook文件监控 监控指定目录下文件的读写和修改.zip
Hook实现文件监控
sinat_36391009的博客
11-29 6808
介绍 该Windows文件监控系统旨在为Windows环境中的文件提供安全性。我需要设计一个应用程序来监视Windows上的文件打开、关闭和保存操作,并限制用户在安装此实用程序之前访问文件类型的子集。这是通过连接Windows文件相关api,然后根据需要在Windows中对文件进行打开、保存和关闭操作的预处理来实现的。预处理可能是对文件进行加密,破坏文件的标题部分等。如果在系统上安装了这个实用程序...
【收藏级干货】揭秘电脑文件操作记录监控:如何查看?一招在手,秒变监控高手!
最新发布
2401_85865355的博客
07-09 434
电脑文件的安全与合规性成为了企业管理的重中之重。你是否曾好奇,能否追踪并查看?掌握这一技能,不仅能提升你的工作效率,还能在关键时刻为企业信息安全保驾护航。今天,就让我们一起解锁这项“大佬级”技能——电脑文件操作记录监控的查看方法。
hook工具_SSDT-HOOK保护进程
weixin_39928106的博客
12-01 297
实验环境:win7虚拟机示例是对内核层进行SSDT-HOOK实现保护进程的功能一会儿会用到的API是OpenProcess,在3环也就是用户层调用此API它保存一些信息传入到0环内核层后实际调用的是ZwOpenProcess函数,所以先使用OD随意打开一个.exe可执行程序,然后在kernel32模块里面查找OpenProcess函数,经过2个jmp后进入下一层,找到一个call进入其中便是ZwO...
api hook监听文件变化_使用WatchService监听文件变化
weixin_33982195的博客
01-15 207
最近再写Agent发现一个很有意思的东东!!!在Java 7发布的新的IO框架中,除了大家都熟知的FileVisitor接口外,还有个WatchService接口经常被人忽视掉。这个类可以让你实时的监控操作系统中文件的变化,包括创建、更新和删除事件。WatchService用来观察被注册了的对象的变化和事件。它和Watchable两个接口的配合使用,WatchService...
API Hook完全手册
killcpp的专栏
12-08 1029
1 基本原理org:http://blog.csdn.net/ATField/archive/2007/02/10/1507122.aspxAPI Hook是什么我就不多说了,直接进入正题。API Hook技术主要有下面的技术难点:1. 如何将自己的的代码Inject到其他进程2. 如何HookAPI 1.1 代码的Injection常用的方法有:1. 使用注册表HKLM
易语言APIHOOK CreatefileA实现写到文件、读入文件-易语言
06-12
这篇教程将重点介绍如何使用易语言的APIHOOK功能来实现对`CreateFileA`函数的Hook,以便读写文件。 `CreateFileA`是Windows API中的一个函数,它用于打开、创建或重命名文件、设备或管道。通过Hook这个函数,我们...
易语言 拦截文件读写 APIhook
05-06
易语言 拦截文件读写 APIhook 拦截打开文件 拦截文件读入 拦截取文件长度 拦截文件读写位置
基于API-HOOK数据文件透明加解密系统设计和实现
09-26
1. 文件读写操作监控:通过Hook像CreateFile、WriteFile和ReadFile这样的文件操作API,系统可以在文件被打开、读取或写入时介入。在读取文件时,先解密数据;在写入文件时,先加密数据实现数据的实时加解密。 2...
文件监控系统设计(2)-"Windows 文件监控API"
路在脚下On the way to . . . . . . .
08-05 2145
今天浅谈一下windows 下文件监控API 函数- ReadDirectoryChangesW() 的使用。 1 函数声明 BOOL WINAPI ReadDirectoryChangesW(   __in         HANDLE hDirectory,
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
钩子实现文件或端口读写的截取
12-18
钩子实现文件或端口读写的截取,同是也是监控端口的源代码
监控文件系统用得到的API
weixin_34406086的博客
11-30 98
监控文件系统用得到的API http://msdn.microsoft.com/en-us/library/aa302237.aspx NT_TRANSACT_NOTIFY_CHANGE The NT_TRANSACT_NOTIFY_CHANGE command notifies the client when the direc...
利用HOOKAPI拦截文件操作
bruce135lee的专栏
02-09 3740
先读下HookAPI 使用文档:功能简介HookAPI 是一个截获Windows 32位API函数的开发包,它可以在Windows调用某个API函数的时候,先调用自己编写的函数,从而实现特殊的功能。HookAPI同样也适用于截获用户自己编写的DLL文件中的输出函数。 1.5系统特点:1)自己编写的替代函数的参数形式和原API函数完全一样,方便了Delphi和VB用户的使用。2)实时截获所有新建立的...
Hook API的学习笔记
饮马流花河
08-21 3350
一、什么是API Hook    见下图所示,API Hook就是对API的正常调用起一个拦截或中间层的作用,这样可以在调用正常的API之前得到控制权,执行自己的代码。其中Module指映射到内存中的可执行文件或DLL。      module0    module1 |       |CALL module1!API001 --------------------------------
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
热门推荐
扣的CODE
07-20 1万+
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。   最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperat
文件读写监控(inotify, systemtap)
zhanfu2905的博客
03-30 4149
一、inotify      inotify是内核的一个特性,可以用来监控目录、文件的读写等事件,当监控目标是目录时,inotify除了会监控目录本身,还会监控目录中的文件。inotify的监控功能由如下的几个系统调用完成:inotify_init(2) (or inotify_init1(2)), inotify_add_watch(2), inotify_rm_watch(2), rea
Windows API HOOK框架实现技术探析
通过这个通用框架,开发者可以更方便地对Windows API进行HOOK,从而实现各种高级功能,例如拦截文件操作、网络通信等,以达到调试、日志记录、行为分析或者安全防护的目的。然而,需要注意的是,不恰当地使用API ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值