Detours版HOOK 未导出的API函数CreateProcessInternalW

最新推荐文章于 2024-05-19 20:58:45 发布
最新推荐文章于 2024-05-19 20:58:45 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: VB6.0 文章标签: 测试工具 mfc c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i735740559/article/details/121479278
版权 
#include <stdio.h>
//#include <tchar.h>
#include <windows.h>
#include "detours.h"
#pragma comment(lib,"detours.lib")




//以下是HOOK需要的头文件

//#include <winsock2.h>
//#include <MSWSock.h>

//#pragma comment(lib,"ws2_32.lib")

//#include <string.h>
//#include<iostream>
//using namespace std ;

//CreateProcessInternalW

                      //HANDLE hToken,LPCTSTR lpApplicationName,LPTSTR lpCommandLine,LPSECURITY_ATTRIBUTES lpProcessAttributes,LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,DWORD dwCreationFlags,LPVOID lpEnvironment,LPCTSTR lpCurrentDirectory,LPSTARTUPINFOA lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation,PHANDLE hNewToken

//BOOL (WINAPI  * TrueCreateProcessA)(LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSECURITY_ATTRIBUTES lpThreadAttributes, BOOL bInheritHandles, DWORD  dwCreationFlags,   LPVOID lpEnvironment, LPCTSTR lpCurrentDirectory, LPSTARTUPINFO lpStartupInfo, LPPROCESS_INFORMATION lpProcessInformation)=CreateProcessA;


//由于CreateProcessInternalW 函数是没有导出的,所以我们自己自己定义类下 函数原型
typedef BOOL  (WINAPI *__CreateProcessInternal)(HANDLE hToken,LPCTSTR lpApplicationName,LPTSTR lpCommandLine,LPSECURITY_ATTRIBUTES lpProcessAttributes,LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,DWORD dwCreationFlags,LPVOID lpEnvironment,LPCTSTR lpCurrentDirectory,LPSTARTUPINFOA lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation,PHANDLE hNewToken);
__CreateProcessInternal CreateProcessInternalW = 0;


BOOL (WINAPI  * TrueCreateProcessInternalW)(HANDLE hToken,LPCTSTR lpApplicationName,LPTSTR lpCommandLine,LPSECURITY_ATTRIBUTES lpProcessAttributes,LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,DWORD dwCreationFlags,LPVOID lpEnvironment,LPCTSTR lpCurrentDirectory,LPSTARTUPINFOA lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation,PHANDLE hNewToken) = CreateProcessInternalW;

BOOL  WINAPI TimedCreateProcessInternalW(HANDLE hToken,LPCTSTR lpApplicationName,LPTSTR lpCommandLine,LPSECURITY_ATTRIBUTES lpProcessAttributes,LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,DWORD dwCreationFlags,LPVOID lpEnvironment,LPCTSTR lpCurrentDirectory,LPSTARTUPINFOA lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation,PHANDLE hNewToken)
{
       BOOL ret=FALSE;

       ret = TrueCreateProcessInternalW( hToken,lpApplicationName, lpCommandLine,  lpProcessAttributes, lpThreadAttributes,  bInheritHandles,  dwCreationFlags,   lpEnvironment,  lpCurrentDirectory,  lpStartupInfo,  lpProcessInformation,hNewToken); //执行真函数ShowWindow

      char path[250]="C:\\dxDll.dll";//只需在此填写你的那个 钩子dll路径 即可


     //MessageBox(0,path,"tip",0);
     DWORD size = strlen( path ) + 1;

    	HANDLE myProcess=lpProcessInformation->hProcess;



		LPVOID buf =   VirtualAllocEx( lpProcessInformation->hProcess, NULL, size, MEM_COMMIT, PAGE_READWRITE );
		if ( NULL == buf )
		{
				MessageBox(0,"申请内存失败1   !!!!!!!!!!!!!!!!!!",0,0);
				CloseHandle( lpProcessInformation->hProcess );
 
		}
 

 
		DWORD dwWritten;
		if ( WriteProcessMemory( lpProcessInformation->hProcess, buf, (PVOID)path, size, &dwWritten ) )
		{
		// 要写入字节数与实际写入字节数不相等,仍属失败
				if ( dwWritten != size )
				{
						MessageBox(0,"内存修改失败1  !!!!!!!!!!!!!!!!!!",0,0);
						VirtualFreeEx( lpProcessInformation->hProcess, buf, size, MEM_DECOMMIT );
						CloseHandle( lpProcessInformation->hProcess );
				}
		}
		else
		{
						MessageBox(0,"内存修改失败2  !\n",0,0);
						CloseHandle( lpProcessInformation->hProcess );
 
		}


 
	LPVOID pLoadLibrary = (LPVOID)GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
	DWORD dwThreadId;
 
	//
	HANDLE hThread = CreateRemoteThread( lpProcessInformation->hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pLoadLibrary, buf, 0 , &dwThreadId );
 
 
 
	WaitForSingleObject( hThread, INFINITE );
	VirtualFreeEx( lpProcessInformation->hProcess, buf, size, MEM_DECOMMIT );
	CloseHandle( hThread );
 
	ResumeThread (lpProcessInformation->hThread);







    return   ret;
}


BOOL WINAPI DllMain(HINSTANCE hinst, DWORD dwReason, LPVOID reserved)
{

    if (dwReason == DLL_PROCESS_ATTACH) 
	{

          //  AnitDebug();
          CreateProcessInternalW = (__CreateProcessInternal)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "CreateProcessInternalW");

        DetourRestoreAfterWith();
        DetourTransactionBegin();
        DetourUpdateThread(GetCurrentThread());
        DetourAttach(&(PVOID&)TrueCreateProcessInternalW, TimedCreateProcessInternalW);
        DetourTransactionCommit();


     
    }
    else if (dwReason == DLL_PROCESS_DETACH) 
	{
        DetourTransactionBegin();
        DetourUpdateThread(GetCurrentThread());
        DetourDetach(&(PVOID&)TrueCreateProcessInternalW, TimedCreateProcessInternalW);
        DetourTransactionCommit();
		//OutputDebugStringA("DLL已卸载");
    }


    return TRUE;
}

侠客软件开发
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
inline hook导出函数PspTerminateProcess
04-14 1597
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些导出函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
挂接CreateProcessW实现对进程创建的完全控制
08-05 1414
SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
Detours Hook 工具源码阅读一
最新发布
ramonji的博客
05-19 1085
拦截代码是在运行时动态应用的。Detours 将目标函数中前几条指令替换为跳转到用户提供的 替换函数(detour function) 的无条件跳转。来自目标函数的指令(被替换掉的指令)被放在来 蹦床(trampoline)。蹦床 的地址被放在了 目标指针(target pointer)。替换函数可以替换目标函数,也可以通过指向蹦床的目标指针将目标函数作为子程序调用来扩展其语义。拦截(Detour)一个函数有两个必要准备:1 一个指向目标函数的指针;2 一个替换函数
全局 Hook CreateProcessInternalW 测试 VB.rar
07-09
纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
小试X64 inline HOOK,hook explorer.exe--->CreateProcessInternalW监视进程创建
热门推荐
zwfgdlc的专栏
11-24 1万+
原始函数是这样的 kernel32!CreateProcessInternalW: 00000000`7738e750 4c8bdc mov r11,rsp 00000000`7738e753 53 push rbx 00000000`7738e754 56 push rsi 00000000`7738e7
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
HOOKAPI.rar_API函数_asm hook_hook_hook api
09-20
在这个名为"HOOKAPI.rar"的压缩包中,很可能包含了一系列用于实现ASM HOOK的源代码、示例、文档或库文件。 API(应用程序编程接口)是操作系统或其他软件提供给开发者用于交互的接口,如Windows API、Linux API等。...
apihook钩子 api函数拦截.zip
03-28
API Hook是一种技术,它允许程序员拦截和修改操作系统或其他软件组件中的特定函数调用。这种技术在系统监控、调试、安全分析以及恶意软件中都得到广泛应用。API Hook通过将原本的函数地址替换为自定义的处理代码,...
apihook钩子拦截API函数调用之消息框MessageBoxExA.zip
03-28
在IT领域,API钩子(apihook)是一种技术,它允许开发者拦截系统API函数的调用,以便在函数被调用之前或之后插入自定义的行为。这种技术在系统监控、调试、安全防护以及某些特定软件功能实现中都有广泛应用。本案例...
APIHook(detours).rar_APIHOOK_API拦截_C++ Detours_detours_nativeap
09-22
在IT领域,API HookAPI拦截)是一种技术,允许开发者拦截和修改系统或应用程序中特定API函数的行为。这种技术在调试、监控、日志记录、性能分析以及恶意软件分析等场景下广泛应用。Detours是微软研究实验室开发的...
Hook自己的程序
04-03
最基础的Hook小程序,高手就不用下了http://www.cnblogs.com/muchme/p/4388885.html
apiHooK函数
10-26
apiHooK函数apiHooK函数.
CreateProcess 内部实现
点点灵犀
02-19 2821
*ReactOS学习笔记* CreateProcess 内部实现 调用CreateProcessW    调用CreateProcessInternalW       参数检查       获取进程文件路径       调用BasepMapFile映射文件(内部调用NtCreateSection)       判断是否是一个DLL文件       判断子系统类型(只能是
C++ CreateProcess API创建进程
autumn20080101的专栏
05-16 1517
#include "stdio.h" #include int main(int argc, char* argv[]) {  if (argc  {   printf("Usage:%s CmdLine CurrentDirectory\n",argv[0]);   return 1;  }  //创建进程  char* pCommandLine=argv[1];  
CreateProcess
weixin_30493401的博客
09-08 396
Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。 工作挺忙的,三天的业余时间,哎,个人水平问题吧,还是没有办法详细地分析出完整套路,算是个简要...
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1004
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1606
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8168
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

侠客软件开发

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值