Hook技术2 内存中修改模块开头代码为跳转语句

最新推荐文章于 2018-09-10 14:41:46 发布
最新推荐文章于 2018-09-10 14:41:46 发布
阅读量586 收藏
点赞数
文章标签: hook null basic api dll

这种霸道的技术,一般不推荐使用,除非无奈之下,不妨可以试试。

原理也很简单,要导入一个Dll,把它在内存中的代码,前几代改为

JUMP 我的函数地址

然后,在我的里,再把他的几行代码改回去,把我自己的事做完之后,再调用它,也可以不调用。最后它返回后,又将它的前几行代码改为JUMP。

原理非常简单:

下面给出一个封装好的类:

 

复制代码
/ /

//  ULHook.h

 

#ifndef __ULHOOK_H__

 #define  __ULHOOK_H__

 

#include  < windows.h >

 

 class  CULHook

{

 public :

     CULHook(LPSTR pszModName, LPSTR pszFuncName, PROC pfnHook);

      ~ CULHook();

      //  取消挂钩

      void  Unhook();

      //  重新挂钩

      void  Rehook();

 protected :

     PROC m_pfnOrig;                  //  目标API函数的地址

     BYTE m_btNewBytes[ 8 ];        //  新构建的个字节

     BYTE m_btOldBytes[ 8 ];        //  原来个字节

     HMODULE m_hModule;

};

 

 #endif   //  __ULHOOK_H__

 

 // /

//  ULHook.cpp文件

 

 

#include  " ULHook.h "

 

 

CULHook::CULHook(LPSTR pszModName, LPSTR pszFuncName, PROC pfnHook)

{

 

      //  jmp eax == 0xFF, 0xE0

      //  生成新的执行代码

     BYTE btNewBytes[ 8 =  {  0xB8 0x00 0x00 0x40 0x00 0xFF 0xE0 0x00  }; 

     memcpy(m_btNewBytes, btNewBytes,  8 );

      * (DWORD  * )(m_btNewBytes  +   1 =  (DWORD)pfnHook; 

 

      //  加载指定模块,取得API函数地址

     m_hModule  =  ::LoadLibrary(pszModName);

      if (m_hModule  ==  NULL)

     {

         m_pfnOrig  =  NULL;

          return ;

     }

     m_pfnOrig  =  ::GetProcAddress(m_hModule, pszFuncName);

 

 

      //  修改原API函数执行代码的前个字节,使它跳向我们的函数

      if (m_pfnOrig  !=  NULL)

     {

         DWORD dwOldProtect;

         MEMORY_BASIC_INFORMATION    mbi;

         ::VirtualQuery( m_pfnOrig,  & mbi,  sizeof (mbi) );

         ::VirtualProtect(m_pfnOrig,  8 , PAGE_READWRITE,  & dwOldProtect);

 

          //  保存原来的执行代码

         memcpy(m_btOldBytes, m_pfnOrig,  8 );

          //  写入新的执行代码

         ::WriteProcessMemory(::GetCurrentProcess(), ( void   * )m_pfnOrig, 

                            m_btNewBytes,  sizeof (DWORD) * 2 , NULL); 

     

         ::VirtualProtect(m_pfnOrig,  8 , mbi.Protect,  0 );

     }

}

 

CULHook:: ~ CULHook()

{

     Unhook();

      if (m_hModule  !=  NULL)

         ::FreeLibrary(m_hModule);

}

 

 void  CULHook::Unhook()

{

      if (m_pfnOrig  !=  NULL)

     {

         DWORD dwOldProtect;

         MEMORY_BASIC_INFORMATION    mbi;

         ::VirtualQuery(m_pfnOrig,  & mbi,  sizeof (mbi));

         ::VirtualProtect(m_pfnOrig,  8 , PAGE_READWRITE,  & dwOldProtect);

 

          //  写入原来的执行代码

         ::WriteProcessMemory(::GetCurrentProcess(), ( void   * )m_pfnOrig, 

                            m_btOldBytes,  sizeof (DWORD) * 2 , NULL); 

     

         ::VirtualProtect(m_pfnOrig,  8 , mbi.Protect,  0 );

     }

}

 

 void  CULHook::Rehook()

{

      //  修改原API函数执行代码的前个字节,使它跳向我们的函数

      if (m_pfnOrig  !=  NULL)

     {

         DWORD dwOldProtect;

         MEMORY_BASIC_INFORMATION    mbi;

         ::VirtualQuery( m_pfnOrig,  & mbi,  sizeof (mbi) );

         ::VirtualProtect(m_pfnOrig,  8 , PAGE_READWRITE,  & dwOldProtect);

 

          //  写入新的执行代码

         ::WriteProcessMemory(::GetCurrentProcess(), ( void   * )m_pfnOrig, 

                            m_btNewBytes,  sizeof (DWORD) * 2 , NULL); 

     

         ::VirtualProtect(m_pfnOrig,  8 , mbi.Protect,  0 );

     }

}
尘埃_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内存修改模块
07-31
可以搜索游戏内存数值,修改数值!支持DNF等等!
枫灬_专业内存修改_模块v1.5.ec
02-09
枫灬的专业内存修改_模块v1.5.ec啊,要的赶紧来下载啊,带2积分不过分的,1.5的
NtOpenProcess被HOOK,回原函数地址后仍然无法看到进程
swanabin的专栏
07-30 1107
http://www.ghoffice.com/bbs/read-htm-tid-103923.html
易语言播放内存的MP3模块
08-16
易语言播放内存的MP3模块源码 系统结构:LoadMemMp3,FreeMemMp3,FreeMemAllMp3,NewCreateFile,安装APIHOOK,卸载APIHOOK,VirtualProtect,LoadLibrary,GetProcAddress,CloseHandle,CreatePipe,WriteFile,...
C++实现修改函数代码HOOK的封装方法
09-04
在C++,函数代码HOOK是一种技术,允许程序员在运行时拦截并替换特定函数的执行,通常用于调试、性能分析或注入自定义行为。这里介绍的是一种C++实现的函数HOOK封装方法,它涉及到以下几个核心知识点: 1. **函数...
易语言远程HOOK监视内存读写
07-21
易语言远程HOOK监视内存读写源码,远程HOOK监视内存读写,内存_远程HOOK读写_回调,HOOK_远程函数_取参数值,HOOK_远程函数_安装,HOOK_远程函数_窗口,HOOK_远程函数_卸载,下面为辅助功能,Call,内存_读整数型,指针_取变量...
易语言远程HOOK监视内存读写源码
06-06
在本资源,"远程HOOK监视内存读写源码"是一个关于Windows系统编程和逆向工程的主题。它涉及到以下几个关键知识点: 1. **HOOK技术**:HOOK是Windows API提供的一种机制,允许开发者拦截特定的系统消息或函数调用...
向进程注入托管程序集(Hook ReadProcessMemory Api)(C#源码)
07-18
托管程序集是否能被注入,这个问题一直以来都被否定,但easyhook给了我们一个解决方案
vc++HOOK详细讲解
独旅天涯
08-21 8605
消息钩子函数入门  Windows 系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实 现的。而钩子是 Windows 系统非常重要的系统接口,用它可以截获并处理送给其他应用 程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程的各种事件 消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统安装自定义的钩子, 监视系统特定事件的发生
HOOK API 大法
liutaoxwl的专栏
05-15 6214
什么是HOOK API:       Windows下暴露的对开发人员的接口叫做应用程序编程接口,就是我们常说的API。我们在写应用层应用程序软件的时候都是通过调用各种API来实现的。有些时候,我们需要监控其他程序调用的API,也就是,当其他应用程序调用我们感兴趣的API的时候,我们在他调用前有一个机会做自己的处理,这就是HOOK API的涵义。   思路:       我
Hook_获取寄存器数值
Flasco的个人博客
10-23 5585
很多分析程序的时候,我们会发现如果能读出目标程序运行到指定地址之后的寄存器数据的话,我们的工作会轻松很多。可是怎么能够读取出来呢? 要知道,寄存器的值是随着程序的运行而在不断做着改变的。 如果想要像使用调试工具一样读出寄存器的值的话,其实有2种方法。 第一种就是做个简易的程序调试器,在指定地址上下断点,让程序获取debug异常,读取寄存器数据。 第二种就是在程序运行到指定行数的时候加上我们
Hook技术拦截登录
戒不掉的码瘾
09-10 2269
     其实现在的开发大多支持游客模式,但是一些需要绑定用户的模块就需要用户登录,这时候用Hook就方便多了。 1、确定Hook点       确定Hook点的原则就是生命周期比较长,不会轻易重新创建,一般寻找静态变量和单例。 劫持登录就需要Hook到页面的静态变量调用者,下面我们根据startActivity方法去寻找Hook点(此处查找源码为Android23,在26版本静态变量有变化...
APIHOOK之外挂系列
热门推荐
sanshao27的专栏
05-18 1万+
 3月30日DBGRIDEH 组件在Borland开发工具应用全攻略 KeyLife富翁笔记 作者: archonwang标题: DBGRIDEH 组件在Borland开发工具应用全攻略 【陈文彬】 关键字: 分类: 个人专区 密级: 公开
易语言 内存修改框架
超哥的专栏
07-31 2143
下载5U2模块 https://download.csdn.net/download/zhangxuechao_/10575424 源码 ID = 进程_名取ID (“PlantsVsZombies.exe”) 调试输出 (ID) 基地址 = 内存.读整数 (ID, 进制_十六到十 (“6A9EC0”)) 调试输出 (基地址) 一级偏移 = 内存.读整数 (ID, 基地址 + 进制_...
DLL注入与HOOK技术在数据采集分析的应用
2. DLL制作与注入:介绍如何编写DLL代码,以及如何使用不同的注入技术(如注入API、注入内存等)将DLL注入到目标进程。 3. HOOK技术详解:阐述不同类型的钩子(如WH_KEYBOARD_LL、WH_MOUSE_LL等)及其工作原理,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值