替换 IAT 中的导入函数地址实现 Hook API

最新推荐文章于 2022-10-22 22:17:21 发布
最新推荐文章于 2022-10-22 22:17:21 发布
阅读量1.4k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook api descriptor import user null
详细说明《Windows 核心编程》中有。贴段代码,我写得比他写得简洁多了。自己会查找 Image Import descriptor 的地址,而不像书中所用的调用 ImageHlp.dll 或者 DbgHelp.dll 中的函数 ImageDirectoryToData 来实现。为了使用一些 PE 结构类型,请 #include (不会导入他的函数)。

使用方法:

HookAPI((PBYTE) GetModuleHandle(NULL), "User32.dll", MessageBox, MyMessageBox);

取消Hook:

HookAPI((PBYTE) GetModuleHandle(NULL), "User32.dll", MyMessageBox, MessageBox);

原本以为用这种方法能 Hook User32.dll 中的 SetScrollInfo 实现 ClassXP 自绘 Scroll 的。因为需要 HookAPI((PBYTE) GetModuleHandle("User32.dll"), "User32.dll", SetScrollInfo, MySetScrollInfo) ,后来发现 User32.dll 根本不是导入自己的函数,而是直接调用——早该想到了,晕死!

所以替换 IAT 方法 Hook,还是有限制的,没办法在ClassXP中使用:(只好替换SetScrollInfo的入口点代码了:( 


PVOID HookAPI(PBYTE pbModule, PCSTR pszName, PVOID pvOrg, PVOID pvNew)
 {
     PIMAGE_THUNK_DATA r;
     PIMAGE_NT_HEADERS p;
     PIMAGE_IMPORT_DESCRIPTOR q;
     
     p = (PIMAGE_NT_HEADERS) (pbModule + ((PIMAGE_DOS_HEADER) pbModule)->e_lfanew);
     q = (PIMAGE_IMPORT_DESCRIPTOR) (pbModule + p->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
 
     for (; q->Name; q++)
     {
         if (lstrcmpiA(pszName, (PCSTR) (pbModule + q->Name)) == 0)
         {
             for (r = (PIMAGE_THUNK_DATA) (pbModule + q->FirstThunk); r->u1.Function; r++)
             {
                 if ((PVOID) r->u1.Function == pvOrg) 
                 {
                     WriteProcessMemory(GetCurrentProcess(), &r->u1.Function, &pvNew, sizeof(PVOID), NULL);
                     return pvOrg;
                 }
             }
         }
     }
 
     return NULL;
 }
 
    下面是替换函数入口的方法,只能用于X86的平台中,尚不完善。 PVOID HookApi(PVOID pvOrg, PVOID pvNew) {     DWORD dwProtect;      if (VirtualProtect(pvOrg, 16, PAGE_READWRITE, &dwProtect))     {         PBYTE p = (PBYTE) pvOrg;         PDWORD q = (PDWORD) (p + 1);          *p = 0xE9;         *q = (LONG) pvNew - (LONG) (p + 5);          VirtualProtect(pvOrg, 16, dwProtect, &dwProtect);          return pvOrg;     }      return NULL; }
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
通过修改DLL文件的IAT表(函数导入表)来实现api hook的源码
03-28
本源码包提供了一种通过修改DLL文件的IATImport Address Table,函数导入表)来实现API Hook的方法。下面将详细解释相关知识点。 1. API HookAPI Hook允许开发者拦截并替换特定的系统API调用,这样当其他程序...
linux内核hook技术之函数地址替换
快乐时光
03-04 2038
前言 函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构函数进行替换,来完成自己的安全权限控制。 其security_ops是LSM框架所使用的,sys_call_table是系统调用表结构。当然了,这些结构目前在内核都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子,演示了重置cr0寄存器写保护位及其 修改内存页表项属性值两种关闭写保护方式,有兴趣的朋友可对...
函数换值与换址
最新发布
queners的博客
10-22 230
函数换值和换址
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2518
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT函数地址
远程注入并重建PE达到隐藏的目的
LLC
07-19 2401
//为了简化代码,下面程序去掉了对出错处理的代码,实际应用应该考虑程序运行时可能的出错: #include "stdafx.h" static PIMAGE_NT_HEADERS nt_header; #define IMAGESIZE (nt_header->OptionalHeader.SizeOfImage) #define EXPORT_TABEL (nt_heade
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
- `APIHook.cpp`:很可能包含了APIHOOK的主要实现,包括DLL注入、函数HOOK和自定义逻辑的代码。 - `IniFile.cpp`和`.h`:可能用于读写配置文件,如保存或加载HOOK设置。 - `Md5.cpp`和`.h`:可能涉及到MD5哈希计算,...
0_apihook函数_APIHOOK_hook_apihook_
10-03
3. **Interception via Import Address Table (IAT)**:适用于动态链接库(DLL)的API Hook,通过修改目标进程的导入地址表,使函数调用转向我们的Hook函数。 4. **Function Overwriting**:直接覆盖API函数的内存...
apihook钩子 api函数拦截.zip
03-28
- IATImport Address Table)篡改:修改PE文件的导入地址表,将目标API的入口地址改为钩子函数地址。 - EAT(Export Address Table)篡改:对于动态链接库(DLL),可以通过修改其导出地址表来实现钩子。 - ...
IAT挂钩实现和检测
justin_bkdrong的专栏
08-28 791
IAT - Import Address Table ,导入地址列表。这里保存着各个导入函数加载后的地址,它是动态的,随着Dll的加载的位置不同而不同。 PE - Portable Execute 可执行的程序结构。在PE结构有个数据目录(Data Directory) 内部保存导入表的数据。格式大概如下: dll-数据 1 函数数据1 函数数据2 函数数据3 … dll-数
Delphi IATHook API
10-09
Delphi的IAT API Hook 算還沒完成 但已經可以實現Hook了 還沒搞定CreateRemoteThread 所以只能修改自己得IAT(好爛)
Delphi API HOOK完全说明
06-13
什么是API Hook不知道大家是否还记得,在DOS 系统编程,经常会采取截取断向量的技术:我们可以设置新的断服务程序,当系统其他的程序调用这个断时,就让它先调用我们自己设置的新的断服务程 序,然后再调用原来的断服务程序,这样就能够获得非凡的控制权。许多优秀的软件和大多数DOS 病毒程序都采用了这个方法。 在Windows ,我们也可以采取类似技术。当系统调用某个API 函数时,就会先进入我们自己的函数,然后再调用原来的API 函数,这样,我们的程序就可以取得更多的控制权,我们就可对Windows 系统的任意一个函数调用进行动态拦截、跟踪、修改和恢复,就可让Windows 系统的任意一个函数按我们的设想工作。这种技术有许多名称,比如“陷阱技术”、“重入技术”等,不过我认为还是API Hook 最贴切。原因嘛,等一下你看编程就明白了。
IAT HOOK
热门推荐
enjoy5512的博客
06-02 1万+
IAT Hook实现
修改IATHOOK API
08-16 3359
////write by Gxter////本程序是用寻找并修改(Improt Address Table)的方法来实现HOOK一个API函数#include #include #include #define  UNICODE#define  _UNICODEPIMAGE_DOS_HEADER  pDosHeader;PIMAGE_NT_HEADERS  pNTHeaders;PIMAGE_OP
Delphi API HOOK完全说明(存在错误的原文,含修正)
wts的专栏
08-08 2167
 从网上看到《Delphi API HOOK完全说明》这篇文章,基本上都是大家转来转去,原文出处我已经找不到了。这篇文章写的很不错,但最后部分“PermuteFunction 的终极版本”描述的不太清楚,完全按照该文章代码执行,是不行的。可能是作者故意这样做的?本文最后提供修正后的下载地址。原文如下:一、关于API Hook1.什么是API Hook不知道大家是否还记得,在DO
[转] Delphi API HOOK 完全说明
Ψ星泪(JPEXE)
08-11 2926
// 本文转自网络, 原始出处不明确. // 转载目的: 学习 + 分享 一、关于 API Hook 1. 什么是 API Hook 不知道大家是否还记得,在 DOS 系统编程,经常会采取截取断向量的技术:我们可以设置新的断服务程序,当系统其他的程序调用这个断时,就让它先调用我们自己设置的新的断服务程序,然后再调用原来的断服务程序,这样就能够获得非凡的控制权。许多优秀的
使用IAT替换实现Hook API详解
"替换IAT导入函数地址实现Hook API技术" 在Windows程序设计Hook API是一种常用的技术,用于拦截和修改其他进程函数调用。这种技术通常用于调试、监控、性能分析以及功能扩展等场景。本摘要将详细讨论...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值