Windows Dll注入与API HOOK

最新推荐文章于 2024-08-05 21:22:17 发布
最新推荐文章于 2024-08-05 21:22:17 发布
阅读量2.9k 收藏 7
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hurricane_0x01/article/details/51123250
版权
本文详细介绍了Windows环境下DLL注入的多种方法,包括注册表注入、Windows挂钩、远程线程注入、木马DLL注入、调试器注入以及CreateProcess注入。同时,还阐述了API Hook的两种技术,通过覆盖代码和修改IAT来实现函数拦截。
摘要由CSDN通过智能技术生成

DLL注入:

1.  使用注册表注入dll

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

AppInit_Dlls中设置待注入的dll绝对路径

LoadAppInit_Dlls值设为1

2.  使用Windows挂钩注入dll

需要使用SetWindowsHookEx函数,MSDN定义如下:

HHOOK WINAPI SetWindowsHookEx(
 _In_ int      idHook,
 _In_ HOOKPROC  lpfn,
 _In_ HINSTANCE hMod,
 _In_ DWORD     dwThreadId
);
第一个参数为挂钩类型;

第二个参数为一个函数地址,即挂钩类型事件发生时,系统应该调用的函数;

第三个参数标识一个dll,这个dll中包含第二个参数表示的函数;

第四个参数表示要给哪个线程挂钩,0表示所有运行线程

以下给出一个示例:

HOOKPROC hkprcSysMsg;
static HINSTANCE hinstDLL; 
static HHOOK hhookSysMsg; 
 
hinstDLL = LoadLibrary(TEXT("c:\\myapp\\sysmsg.dll")); 
hkprcSysMsg = (HOOKPROC)GetProcAddress(hinstDLL, "SysMessageProc"); 

hhookSysMsg = SetWindowsHookEx( 
                    WH_SYSMSGFILTER,
                    hkprcSysMsg,
                    hinstDLL,
                    0);
可以使用UnhookWindowsHookEx取消挂钩: 

BOOL WINAPI UnhookWindowsHookEx(
  _In_ HHOOK hhk
);

3.  使用远程线程注入dll

Dll注入的本质即让目标进程中的一个线程通过LoadLibrary()加载待注入dll文件。

通常情况下,无法控制目标进程线程,此时可以创建一个线程了实现上述目的,CreateRemoteThread便提供了此功能。

<
最低0.47元/天 解锁文章
小黑话不多
关注
专栏目录
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK可以通过dll载入进程HOOK指定的函数,例如LoadLibraryA GetProcAddress 等等
API HOOK技术
weixin_34234721的博客
06-17 253
API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。 API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。 外文名 API HOOK      用于 改变API执行结果的技术 应用 如Windows兼容模式等 ...
『网络安全科普』Windows安全之HOOK技术机制
最新发布
shandongjiushen的博客
08-05 566
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
通过HookDLL注入进程
frank_liuxing的专栏
10-18 6184
首先,读这篇文章之前,默认已经掌握了进程地址空间,dll加载,windows Hook技术。 1. 为什么需要dll注入? 如果一个进程的程序是我们自己编写的,我们可以在程序中隐式或者显式地加载需要的dll,不需要dll注入。但是,当一个进程的程序不是我们编写的,而我们又需要该程序加载指定的dll,以便进行某些操作,这是就需要dll注入。 我们知道,dll可以被多个进程加载,当一个进程加载d
HOOK API DLL 注入
淡蓝色的帆 -编程空间
04-16 3589
 一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是关于机器指令代码的(听上去真是有点恐怖,不过这是事实)。当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了
Ex_HOOK.rar_API HOOK IE_dll ie_dll 注入 api_hook ie_hook注入
09-19
在标签中,“dll_ie”可能指的是专门针对IE浏览器的DLL文件,“dll_注入__api hook”表明了DLL注入API Hook结合使用,“hook注入”则是对上述两种技术的简短概括。 压缩包内的“Ex_HOOK”可能是程序的主文件,...
HOOK_api.rar_Hook_api_detourapi_dll hook api_dll注入_注入 api hook
09-23
根据文件名称列表只有一个“HOOK_api”,推测这可能是一个主程序或者示例代码,用户可以通过这个文件了解如何进行API钩子和DLL注入的实践操作。 总的来说,这个压缩包提供的知识可能包括以下几点: 1. API钩子技术...
ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll
09-20
在标题"ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll"中,我们可以看到"ApiHook"、"DLL HOOK"以及"api_hook.dll"等关键词,这些都是与API Hook密切相关的元素。描述中提到的"API Hook示例代码"是...
vc++ dll注入api hook.zip
02-28
在“vc++ dll注入api hook.zip”这个压缩包中,包含了实现这两种技术的相关源代码,如`apihijack.cpp`、`apihijack.h`以及测试程序`TestLauncher`和`TestDLL`。 首先,我们来理解DLL注入DLL(动态链接库)注入是...
DLL注入工具(进程注入API,VC++)
10-18
DLL文件注入到其他的进程空间中,并且执行DLL; 当然,DLL的入口函数应该是DllMain();
SetWindowsHookEx实现DLL注入
06-05
SetWindowsHookEx实现DLL注入
apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip
04-04
apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip
hook dll文件中的函数add.zip
10-02
hook dll文件中的函数add.zip 参考文章:http://blog.sina.com.cn/s/blog_628821950100xmuc.html 因为原文没有给源码,我看了原文后自己照着写了一遍,这是我测试成功的 源码:VS2008+MFC+Win7
调试注入dll+API-Hook.zip
11-18
// 判断异常记录的内容是否是断点异常(断点异常里面包括int3异常) if (EXCEPTION_BREAKPOINT == per->ExceptionCode) { // 判断断点地址是否为WriteFile()API地址 if (g_pfWriteFile == per->ExceptionAddress) { WriteProcessMemory(g_cpdi.hProcess, g_pfWriteFile, &g_chOrgByte, sizeof(BYTE), NULL);//将函数修改后的首字节0xCC恢复为原首字节(6A) // Thread Context 获取线程上下文 ctx.ContextFlags = CONTEXT_CONTROL; GetThreadContext(g_cpdi.hThread, &ctx);//获取线程的各种状态 // WriteFile()的param2、3 值 // 函数参数存在于相应进程的栈 // 数据缓冲区地址 : ESP + 0x8
DLL注入API拦截
jaken99的专栏
07-28 1155
Windows中,每个进程有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的地址空间中的一个内存地址。进程不能创建一个指针来引用属于其它进程的内存。因此,如果进程有一个缺陷会覆盖随机地址处的内存,那么这个缺陷不会影响到其它进程所使用的内存。      独立的地址空间对开发人员和用户都是非常有利的。对开发人员来说,系统更有可能捕获错误的内存读/写。对用户来说,操作系
Windows 远程注入Dll Hook Api
qq_40447664的博客
06-08 591
Windows 远程注入Dll Hook Api
MFC线程钩子和全局钩子[HOOK DLL]
数据库天地
04-05 331
第一部分:API函数简介 1. SetWindowsHookEx函数 函数原型 HHOOK SetWindowsHookEx( int idHook, // hook type HOOKPROC lpfn, // hook procedure HINSTANCE hMod, // handle to application instance DWORD dwThr...
Windows API HOOK框架实现技术探析
"Windows API HOOK通用框架的实现" Windows API HOOK是一种技术,它允许开发者在其他应用程序调用操作系统提供的API(应用程序编程接口)时进行干预。这种技术常用于调试、监控、性能优化以及安全控制等领域。论文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值