WINAPI HOOK (修改前五个字节,JMP跳转法)

最新推荐文章于 2024-07-06 19:30:00 发布
最新推荐文章于 2024-07-06 19:30:00 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: 系统/进程/线程/DLL 文章标签: winapi hook dll api null thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kugou123/article/details/32229
版权
本文介绍了如何在Win2k下使用WinAPI的VirtualProtectEx和WriteProcessMemory等函数,通过修改API头五个字节实现JMP跳转法的钩子技术。以拦截MessageBoxA为例,详细阐述了钩子函数的设置和API的动态修改过程,展示了在不同进程中的应用,以及其在文件保护和防火墙功能等领域的潜在应用。
摘要由CSDN通过智能技术生成

本文一介绍用修改API头五个字节的方法在Win2k下的使用。利用Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为:
BOOL VirtualProtectEx(
HANDLE hProcess, // 要修改内存的进程句柄
LPVOID lpAddress, // 要修改内存的起始地址
DWORD dwSize, // 修改内存的字节
DWORD flNewProtect, // 修改后的内存属性
PDWORD lpflOldProtect // 修改前的内存属性的地址
);
BOOL WriteProcessMemory(
HANDLE hProcess, // 要写进程的句柄
LPVOID lpBaseAddress, // 写内存的起始地址
LPVOID lpBuffer, // 写入数据的地址
DWORD nSize, // 要写的字节数
LPDWORD lpNumberOfBytesWritten // 实际写入的子节数
);
BOOL ReadProcessMemory(
HANDLE hProcess, // 要读进程的句柄
LPCVOID lpBaseAddress, // 读内存的起始地址
LPVOID lpBuffer, // 读入数据的地址
DWORD nSize, // 要读入的字节数
LPDWORD lpNumberOfBytesRead // 实际读入的子节数
);
具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间,这点又和Win9x/me存在所有进程存在共享的地址空间不同, 因此,必须通过钩子函数和远程注入进程的方法,这样,便能挂接所有进程的API了。现

最低0.47元/天 解锁文章
kugou123
关注
专栏目录
WINAPI调用约定函数的inlineHOOK模板类(class)
09-17
使用class封装的inlineHOOK模板类(class),可劫持大部分WINAPI函数,此种函数的...Real指针指向正确的函数(先执行5字节,然后jmp跳转到被劫持函数的第6字节处,所以要确保5字节是完整的指令,或者自己修改字节数)
c#中用windows api函数修改内存数据
jinjazz
04-28 5163
这个问题来自伴水的《划拳机器人》,对本文用途感兴趣的朋友请大致阅读伴水的帖子,在帖子中我用这个方写了剪刀五号,战绩不错,当然属于作弊的方了。剪刀五号的思路就是每次出拳,尽量让对方能赢,然后根据一个地址段来扫描内存中对方所赢的局数的保存地址,找到后在得到比赛结果时把内存数据改掉。这个类似以打单机游戏时用的fpe之类的修改工具。当然,如果对方故意犯规,一局也不赢,你是找不到他的地址的
Windows 获取内存 API 汇总及使用方
langshanglibie的专栏
02-19 1743
Windows 获取内存 API 汇总及使用方
47.HOOK引擎优化支持CALL与JMP位置做HOOK
最新发布
计算机王的博客
07-06 304
游戏逆向、游戏安全、c++、反游戏外挂
windows 内存管理api学习笔记
m0_46827210的博客
11-20 1111
文章目录为什么使用虚拟内存分配虚拟内存Windows内存管理APIVirtualAllocVirtualProtectVirtualFreeC++代码 为什么使用虚拟内存 虚拟内存最适合用来管理大型对象或数据结构。 比如说,电子表格程序,有很多单元格,但是也许大多数的单元格是没有数据的,用不着分配空间。也许,你会想到用动态链表,但是访问又没有数组快。定义二维数组,就会浪费很多空间。 它的优点是同时具有数组的快速和链表的小空间的优点。 分配虚拟内存 如果你程序需要大块内存,你可以先保留内存,需要的时候再提交
Windows核心编程_修改其它进程里的内存值+示例:修改游戏分数
17岁boy的博客
04-09 8243
最近一直忙于Opencv图像处理方面的学习,以及工作,没有更新C/C++专栏方面的博客了,所以今天就给大家写个应用层方面的编程代码,可用于参考学习,本篇博客将运用WindowsSDK库所提供的API来编写一个修改其他进程里变量值的程序。在开始实际编写代码之,先给大家介绍一下所需函数:OpenProcess、VirtualProtectEx、ReadProcessMemory、WriteProce...
windows 修改网卡ip、dns api
woody218的博客
03-10 1289
c++ windows wmi修改网卡ip+dns
面板WinAPI调用的llB
02-19
LVIEW中一些制作面板窗口、鼠标动态效果可能会用到的WinAPI调用(2009及以上版本用) 扔到X:\Program Files\National Instruments\LabVIEW 2009\user.lib文件夹下即可 文件列表 FindControlByName.vi ...
WinAPI.rar_C#结构体_winapi
09-21
在C#编程中,WinAPIWindows API)的使用能够扩展.NET Framework的功能,让你可以直接调用Windows操作系统底层的函数,实现一些.NET Framework未提供或更底层的操作。本压缩包"WinAPI.rar"提供了C#中封装的Win32 ...
WinAPI查询_winapi_winAPI常用函数总结_
10-02
这个“WinAPI查询”压缩包文件显然是一份详细的WinAPI函数使用手册,特别适合那些刚接触Windows系统编程的新手。下面将对一些重要的WinAPI函数进行概述,以帮助理解和学习。 1. **CreateWindow/CreateWindowEx**: ...
C#EasyHook_easyhook_
10-03
EasyHook为开发者提供了一种高效、稳定且易于使用的解决方案,允许他们在运行时拦截和修改其他进程的行为,而无需重新编译或修改目标代码。这种技术广泛应用于调试、日志记录、性能分析、系统监控和安全应用等领域。...
JMP劫持Dll中函数的示例代码
11-26
测试于vs2015。通过WriteProcessMemory动态修改函数入口地址机器码(5个字节),使之强制跳转到另一个函数。
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
JMP Call hook
11-19
JMP与CALL HOOK之间的较量,攻防之战
JMPHOOK
gezi322的专栏
04-14 1693
 JMP  HOOK  IAT  detours Win9x   系统中,系统DLL被装入实际的物理存储器,然后映射到每个进程的0x80000000~0xBFFFFFFF共享内存区,如果修改这段区域的DLL代码,则对于所有进程都有效(实际Win98对主要的系统DLL作了保护,除非进入ring0才能修改)。        Win2000/NT   的进程空间不存在共享内存区,尽管DLL被装入
WINAPI程序设计详解
“软件开发技术,特别是关于WINAPI的讲解,主要涵盖了WINAPI程序设计的基本流程,包括窗口的注册、创建、显示与更新,以及消息循环和消息处理函数的设计。” 在软件开发领域,WINAPIWindows Application ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值