GetFlv

最新推荐文章于 2021-02-05 02:11:59 发布
最新推荐文章于 2021-02-05 02:11:59 发布
阅读量1k 收藏
点赞数
分类专栏: windows底层核心編程 病毒汇编和调试逆向技术加脱壳 文章标签: winapi null descriptor exception header dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2298624
版权
//
// Hook.h
/*
written by dummyz@126.com
2007/10/20
*/

#ifndef __HOOK_INC__
#define __HOOK_INC__

typedef struct _HOOKIMPORT
{
    FARPROC pfnOldProc;
    FARPROC pfnNewProc;
} HOOKIMPORT, *PHOOKIMPORT;

DWORD HookImportTable(LPVOID lpModuleBaseAddr, PHOOKIMPORT pHookImp, DWORD dwCount);
DWORD UnHookImportTable(LPVOID lpModuleBaseAddr, PHOOKIMPORT pHookImp, DWORD dwCount);


//
// Hook.cpp

/*
written by dummyz@126.com
2007/10/20
*/

#include <windows.h>
#include "Hook.h"



DWORD HookImportTable(LPVOID lpModuleBaseAddr, PHOOKIMPORT pHookImp, DWORD dwCount)
{
    DWORD dwResult = 0;
   
    __try
    {
        PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)lpModuleBaseAddr;
        PIMAGE_NT_HEADERS pNtH = (PIMAGE_NT_HEADERS)((ULONG)pDosH + pDosH->e_lfanew);

        ULONG ImpRav = pNtH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
        if ( ImpRav == 0 )
        {
            return 0;
        }

        HANDLE hProcess = GetCurrentProcess();

        PIMAGE_IMPORT_DESCRIPTOR pImpDesc = (PIMAGE_IMPORT_DESCRIPTOR)((ULONG)pDosH + ImpRav);
        while ( pImpDesc->Name != 0 )
        {
            PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)((ULONG)pDosH + pImpDesc->FirstThunk);
            while ( pThunk->u1.AddressOfData != 0 )
            {
                for ( DWORD dwIndex = 0; dwIndex < dwCount; dwIndex++ )
                {
                    PHOOKIMPORT p = pHookImp + dwIndex;
                    if ( pThunk->u1.AddressOfData == (DWORD)p->pfnOldProc )
                    {
                        DWORD dwWritten;
                        BOOL bSuccessed = WriteProcessMemory(
                            hProcess,
                            (PVOID)&pThunk->u1.AddressOfData,
                            (PVOID)&p->pfnNewProc,
                            sizeof (DWORD),
                            &dwWritten
                            );
                        if ( bSuccessed )
                        {
                            dwResult++;
                        }

                        break;
                    }
                }

                pThunk++;
            }

            pImpDesc++;
        }
    }
    __except ( EXCEPTION_EXECUTE_HANDLER )
    {

    }

    return dwResult;
}

static void _Swap(PHOOKIMPORT pHookImp, DWORD dwCount)
{
    for ( DWORD dwIndex = 0; dwIndex < dwCount; dwIndex++ )
    {
        FARPROC pfnOldProc = pHookImp[dwIndex].pfnOldProc;
        pHookImp[dwIndex].pfnOldProc = pHookImp[dwIndex].pfnNewProc;
        pHookImp[dwIndex].pfnNewProc = pfnOldProc;
    }
}

DWORD UnHookImportTable(LPVOID lpModuleBaseAddr, PHOOKIMPORT pHookImp, DWORD dwCount)
{
    _Swap(pHookImp, dwCount);
   
    DWORD dwResult = HookImportTable(lpModuleBaseAddr, pHookImp, dwCount);

    _Swap(pHookImp, dwCount);

    return dwResult;
}

//
// GetFlv.cpp
/*
提供 flv 路径捕获接口
written by dummyz@126.com
2007/10/20
*/
#include <tchar.h>
#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>
#include <TlHelp32.h>
#include <shlwapi.h>
#include "GetFlv.h"
#include "Hook.h"

//
// 类型定义
//
typedef HMODULE (WINAPI* PFN_LoadLibraryExW)(LPCWSTR,HANDLE,DWORD);



//
// 全局变量
//
#pragma data_seg(".sh")
HHOOK __hMouseHook = NULL;
HWND __hWnd = NULL;
int __nMonitorState = 0;
#pragma data_seg()
#pragma comment(linker, "/section:.sh,rws")

HMODULE __hModule;
HOOKIMPORT __HookImpStc[2];

struct
{
    ULONG sub_300BE976; // 300BE976
    ULONG PatchedCode; // 300910DB
    BOOL bPatched;
} __PatchFlashOcx;

//
// 函数实现
//


void __stdcall LogOut(PCTSTR pszString)
{
    if ( pszString != NULL )
    {
        if ( StrStrI(pszString, "flv") != NULL ) // 肯定存在不准确性,暂时这样宁可误判,不可误漏
        {
#if 0
            FILE* f = fopen("c://getflv.log", "a+");
            if ( f != NULL )
            {
                fprintf(f, "%s/n", pszString);
                fclose(f);
            }
#else
            COPYDATASTRUCT cds;
            
            cds.dwData = 0x8702;
            cds.cbData = strlen(pszString) + 1;
            cds.lpData = (LPVOID)pszString;
            SendMessage(__hWnd, WM_COPYDATA, 0, (LPARAM)&cds);
#endif
        }
    }
}

int __declspec(naked) Dummy_Sub300BE976()
{
    __asm
    {
        mov        eax, [esp + 8]
        push    ecx
        push    eax
        call    LogOut
        pop        ecx
        jmp        [__PatchFlashOcx].sub_300BE976
    }
}

BOOL PatchFlashOcx(LPVOID lpBaseAddr)
{
    __try
    {
        // search code
        PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)lpBaseAddr;
        PIMAGE_NT_HEADERS pNtH = (PIMAGE_NT_HEADERS)((ULONG)pDosH + pDosH->e_lfanew);

        PBYTE pb = (PBYTE)pDosH + pNtH->OptionalHeader.BaseOfCode;
        PBYTE pe = pb + pNtH->OptionalHeader.SizeOfCode - 100;
        while ( pb < pe )
        {
            /*
            300910D3 >|> /FF76 1C       push    dword ptr [esi+1C]
            300910D6 |. |68 F8A11A30   push    301AA1F8                    ; ASCII "url_request"
            300910DB |. |E8 96D80200   call    <sub_300BE976>
            */
            if (
                pb[0] == 0xff && pb[1] == 0x76 && pb[2] == 0x1c &&
                pb[3] == 0x68 && pb[8] == 0xe8
                )
            {
                __try
                {
                    const char* s = *(char**)(pb + 4);
                    if ( _stricmp(s, "url_request") == 0 )
                    {
                        DWORD dwCallOffset, dwWritten;

                        dwCallOffset = (DWORD)Dummy_Sub300BE976 - (DWORD)(pb + 8 + 5);
                        
                        __PatchFlashOcx.PatchedCode = (DWORD)(pb + 9);
                        __PatchFlashOcx.sub_300BE976 = *(PDWORD)(pb + 9) + (DWORD)(pb + 8 + 5);
                        
                        __PatchFlashOcx.bPatched = WriteProcessMemory(
                            GetCurrentProcess(), pb + 9, &dwCallOffset, 4, &dwWritten);
                        break;
                    }
                }
                __except ( EXCEPTION_EXECUTE_HANDLER )
                {
                }
            }

            pb++;
        }
    }
    __except ( EXCEPTION_EXECUTE_HANDLER )
    {
    }

    return __PatchFlashOcx.bPatched;
}

BOOL UnPatchFlashOcx()
{
    if ( __PatchFlashOcx.bPatched )
    {
        DWORD dwWritten;
        DWORD dwOffset = __PatchFlashOcx.sub_300BE976 - __PatchFlashOcx.PatchedCode - 4;

        __PatchFlashOcx.bPatched = !WriteProcessMemory(GetCurrentProcess(),
            (PVOID)__PatchFlashOcx.PatchedCode, &dwOffset, 4, &dwWritten);
    }

    return !__PatchFlashOcx.bPatched;
}

HMODULE
WINAPI
NewLoadLibraryExA(
    LPCSTR lpFileName,
    HANDLE hFile,
    DWORD dwFlags
    )
{
    HMODULE hModule = LoadLibraryExA(lpFileName, hFile, dwFlags);
    if ( hModule != NULL && (dwFlags & LOAD_LIBRARY_AS_DATAFILE) == 0 )
    {
        OutputDebugStringA(lpFileName);

        PCSTR lpName = strrchr(lpFileName, L'//');
        if ( lpName == NULL )
        {
            lpName = strrchr(lpFileName, L'/');
            if ( lpName == NULL )
                lpName = lpFileName;
        }
        lpName++;
        
        static PCSTR pszFlashOcx[] = {
            "flash9c.ocx", "flash9d.ocx"
        };
        for ( unsigned i = 0; i < sizeof (pszFlashOcx) / sizeof (pszFlashOcx[0]); i++ )
        {
            if ( stricmp(lpName, pszFlashOcx[i]) == 0 )
            {
                PatchFlashOcx((LPVOID)hModule);
                break;
            }
        }
        
        HookImportTable((LPVOID)hModule, __HookImpStc, sizeof (__HookImpStc) / sizeof (__HookImpStc[0]));
    }
   
    return hModule;
}

HMODULE
WINAPI
NewLoadLibraryExW(
    LPCWSTR lpFileName,
    HANDLE hFile,
    DWORD dwFlags
    )
{
    HMODULE hModule = LoadLibraryExW(lpFileName, hFile, dwFlags);
    if ( hModule != NULL && (dwFlags & LOAD_LIBRARY_AS_DATAFILE) == 0 )
    {
        OutputDebugStringW(lpFileName);

        PCWSTR lpName = wcsrchr(lpFileName, L'//');
        if ( lpName == NULL )
        {
            lpName = wcsrchr(lpFileName, L'/');
            if ( lpName == NULL )
                lpName = lpFileName;
        }
        lpName++;
        
        static PCWSTR pszFlashOcx[] = {
            L"flash9c.ocx", L"flash9d.ocx"
        };
        for ( unsigned i = 0; i < sizeof (pszFlashOcx) / sizeof (pszFlashOcx[0]); i++ )
        {
            if ( _wcsicmp(lpName, pszFlashOcx[i]) == 0 )
            {
                PatchFlashOcx((LPVOID)hModule);
                break;
            }
        }
        
        HookImportTable((LPVOID)hModule, __HookImpStc, sizeof (__HookImpStc) / sizeof (__HookImpStc[0]));
    }
   
    return hModule;
}

void HookModules(BOOL bHook)
{
    MODULEENTRY32 me;
    me.dwSize = sizeof (me);
   
    HANDLE hModSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, GetCurrentProcessId());
    BOOL bContinue = hModSnap != NULL && Module32First(hModSnap, &me);
    while ( bContinue )
    {
        if ( me.hModule !=__hModule )
        {
            if ( bHook )
            {
                HookImportTable(me.modBaseAddr, __HookImpStc, sizeof (__HookImpStc) / sizeof (__HookImpStc[0]));

                static PCSTR pszFlashOcx[] = {
                    _T("flash9c.ocx"), _T("flash9d.ocx")
                };
                for ( unsigned i = 0; i < sizeof (pszFlashOcx) / sizeof (pszFlashOcx[0]); i++ )
                {
                    if ( _tcsicmp(me.szModule, pszFlashOcx[i]) == 0 )
                    {
                        PatchFlashOcx(me.modBaseAddr);
                        break;
                    }
                }
            }
            else
            {
                UnHookImportTable(me.modBaseAddr, __HookImpStc, sizeof (__HookImpStc) / sizeof (__HookImpStc[0]));
            }
        }

        bContinue = Module32Next(hModSnap, &me);
    }

    if ( hModSnap != NULL )
    {
        CloseHandle(hModSnap);
    }
}

LRESULT WINAPI MouseHookProc(int nCode, WPARAM wParam, LPARAM lParam)
{
    return CallNextHookEx(__hMouseHook, nCode, wParam, lParam);
}

BOOL WINAPI InstallMonitor(HWND hWnd)
{
    if ( __hMouseHook == NULL && IsWindow(hWnd) )
    {
        __hWnd = hWnd;
        __hMouseHook = SetWindowsHookEx(WH_MOUSE, MouseHookProc, __hModule, 0);

        return (__hMouseHook != NULL);
    }
   
    return FALSE;
}

BOOL WINAPI UninstallMonitor()
{
    if ( __hMouseHook != NULL )
    {
        if ( !UnhookWindowsHookEx(__hMouseHook) )
        {
            return FALSE;
        }
        
        __hWnd = NULL;
        __hMouseHook = NULL;
    }
   
    return TRUE;
}

void WINAPI SetMonitorState(int nState)
{
    __nMonitorState = nState;
}

BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, LPVOID p)
{
    if ( dwReason == DLL_PROCESS_ATTACH )
    {
        __hModule = hModule;

        HMODULE hKnl32Mod = GetModuleHandle(_T("kernel32.dll"));
        __HookImpStc[0].pfnOldProc = GetProcAddress(hKnl32Mod, "LoadLibraryExA");
        __HookImpStc[0].pfnNewProc = (FARPROC)NewLoadLibraryExA;
        __HookImpStc[1].pfnOldProc = GetProcAddress(hKnl32Mod, "LoadLibraryExW");
        __HookImpStc[1].pfnNewProc = (FARPROC)NewLoadLibraryExW;

        HookModules(TRUE);
    }
    else if ( dwReason == DLL_PROCESS_DETACH )
    {
        HookModules(FALSE);
        UnPatchFlashOcx();
    }

    return TRUE;
}



 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python 爬取直播_Python爬取直播视频
weixin_35779845的博客
02-09 3952
首先我们利用开发者工具进行抓包分析抓包.png我们可以看到这个数据包一直在加载分析.png从链接中可以看到这是一个Flv文件,可以推测这个网站的直播形式大概就是HTTP+Flv的方式我们对刚才获取到的链接进行验证,能否下载这个链接【简单使用浏览器请求链接下载】下载请求.png直播视频连接我们现在确定了,接下来要获取URL链接HTML代码.png通过关键字段搜索,很顺利的获取到了Flv的链接,接下来...
教你如何将网页上的视频下载到手机
热门推荐
nvxbv9的博客
04-19 2万+
我们有时我们在网上看到了一个自己感兴趣的视频,想要把它下载到手机上以后慢慢再看, 此时可以利用浏览器,可以轻松地把网页视频下载到我们的手机上。 首先我们下载UC浏览器最新版本: 下载地址:http://ucbrowser.ucdownload.cn/android_for_update_apk 打开UC,登陆上自己的账号(可以直接用淘宝登陆),点击菜单—我的视频 点击正在缓存...
GetFLV注册机
01-01
GetFLV最有效的注册机。个人收藏的。
GetFLV 9.0.3.5 loader破解补丁
09-03
GetFLV 9.0.3.5 loader破解补丁,将补丁放在安装目录,运行主程序,用里面的注册码注册,注意,以后都要通过补丁图标启动程序,看清楚版本号,别下错了。
getflv很好用的视屏下载
09-13
tFLV是一款集FLV视频下载、管理、转换并播放的实用工具合集,当打开一个视频播放地址时,GetFLV会自动检测出视频真实地址并提供下载功能,而且本次小编还为大家提供了GetFLV注册机,可以帮助你破解无限制使用软件,下面一起来看看教程吧。
PL-SQLDeveloper13.x86可用破解版--内涵注册机
07-10
PL-SQLDeveloper13.x86可用.rar 32位系统专用,内涵注册机,win10亲测可用.
GetFlv__hookIAT
07-23 732
 //////////////////////////////////////////////////// Hook.h/*written by dummyz@126.com2007/10/20*/#ifndef __HOOK_INC__#define __HOOK_INC__typedef struct _HOOKIMPORT{    FARPROC pfnOldProc;    FARPROC
GetFLV v9.3.1.8简体中文注册版.rar
09-02
安装说明:解压后先打开gfsetup.exe安装程序,安装到最后一步时,不要勾选Launch GetFlv即不启动软件,将GetFLV.exe复制到C:\Program Files\GetFLV目录下,覆盖原文件即是注册版。启动软件之后,界面为英文语言,...
youkuvip.php_youku_parse
weixin_31926245的博客
02-05 255
{"cost": 0.01900000125169754,"data": {"preview": {"thumb": ["http://g1.ykimg.com/052100015682171A6C28916FB00DBE8C"],"timespan": "6000"},"controller": {"continuous": false,"share_disable": false,"downl...
2进制3位数过去现在将来输赢公式代码.txt
09-07
2进制3位数过去现在将来输赢公式代码
福州大学在广东2021-2024各专业最低录取分数及位次表.pdf
09-07
全国各大学在广东2021-2024各专业最低录取分数及位次表
WordPress 集网址、资源、资讯于一体的导航类主题开心版
09-07
WordPress 集网址、资源、资讯于一体的导航类主题开心版; 运行环境 PHP7.4 + MYSQL5.6
【Java学习】activemq消息中间件学习demo.zip
09-07
【Java学习】activemq消息中间件学习demo.zip 【Java学习】activemq消息中间件学习demo.zip 【Java学习】activemq消息中间件学习demo.zip
爬取淘宝热销(热门)手机支架商品信息公开透明的数据集
09-07
本资源专注于收集淘宝热销(热门)手机支架商品信息,内容涵盖商品的店铺所在省份、城市位置、商品的名称、销售价格、累积销量、单价(以人民币计价)、付款的顾客人数、是否提供包邮服务、是否为天猫平台的商品,以及相关的满减优惠情况。这些详细的数据点均来源于淘宝平台的公开透明信息,经过精确抓取和整理,旨在为分析电商平台上的新品推荐策略和消费者购买行为提供实用数据。 这些数据严格遵循淘宝平台的公开政策和隐私保护原则获取,确保了信息的合法性与合规性。然而,本资源仅作为学习参考之用,意在帮助研究人员、市场分析师或学生等理解电商领域的商品推荐机制、销售动态及市场趋势。 任何将此数据用于商业目的或其他未授权的活动都是不恰当的,甚至可能触犯相关法律条款。 在使用这些数据进行学术研究或个人学习时,用户应自觉遵守相关法律法规,尊重数据来源和版权,正确引用数据源,并不得用于任何形式的商业盈利。 注意:这是一份数据集
【目标检测数据集】斧子数据集2396张VOC+YOLO格式(含增强60%).zip
09-07
数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):2396 标注数量(xml文件个数):2396 标注数量(txt文件个数):2396 标注类别数:1 标注类别名称:["futou"] 每个类别标注的框数: futou 框数 = 2484 总框数:2484 使用标注工具:labelImg
南昌大学科学技术学院在广东2021-2024各专业最低录取分数及位次表.pdf
09-07
全国各大学在广东2021-2024各专业最低录取分数及位次表
南京财经大学红山学院在广东2021-2024各专业最低录取分数及位次表.pdf
09-07
全国各大学在广东2021-2024各专业最低录取分数及位次表
武昌首义学院在广东2021-2024各专业最低录取分数及位次表.pdf
最新发布
09-07
全国各大学在广东2021-2024各专业最低录取分数及位次表
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值