HOOK -- IAT HOOK 本进程MessageBox

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量780 收藏 1
点赞数
分类专栏: 数据安全
下面转自网上的,给读者共享,本来自己写点的,但是一直在讲课,没有时间,姑且先复制粘贴下)

========================================================================================

 

 

结合网上资料、使用IAT HOOK截获MessageBox函数、、、

步骤如下

1..写一个自己的MessageBox函数注意调用约定为__stdcall、、

2..定义一MessageBox函数指针如下

     typedef int (__stdcall *pOldMBox)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uType);

3..遍历本进程的导入表寻找MessageBox的地址、、

4..修改MessageBox所在THUNK的地址为自己写的函数地址、、代码如下:

 

#include <windows.h>

 

HANDLE pBegin = GetModuleHandle(NULL);

PBYTE  pBegin2 = (PBYTE)pBegin;

 

PIMAGE_DOS_HEADER DOS = PIMAGE_DOS_HEADER(pBegin2);

PIMAGE_NT_HEADERS NT = PIMAGE_NT_HEADERS(pBegin2+DOS->e_lfanew);

PIMAGE_OPTIONAL_HEADER OPTION = &(NT->OptionalHeader);

PIMAGE_IMPORT_DESCRIPTOR IMPORT = PIMAGE_IMPORT_DESCRIPTOR(OPTION->DataDirectory[1].VirtualAddress + pBegin2);

 

typedef int (__stdcall *pOldMBox)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uType);

pOldMBox pMBox = NULL;

 

int __stdcall HookMBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uType)

{

       if (NULL == pMBox)

       {

              return MessageBox(hWnd,lpText,lpCaption,uType);

       }

    else

       {

             return pMBox(NULL,"哈哈! IAT  HOOK到了","HOOK",MB_OK);

       }

}

 

int ReAPI(const char* DllName, const char* FunName)

{

       while (IMPORT->Name)

       {

              char* OurDllName = (char*)(IMPORT->Name + pBegin2);

              if (0 == strcmpi(DllName , OurDllName))

              {

                     break;

              }

     IMPORT++;

       }

 

        PIMAGE_IMPORT_BY_NAME  pImportByName = NULL;

       PIMAGE_THUNK_DATA   pOriginalThunk = NULL;

       PIMAGE_THUNK_DATA   pFirstThunk = NULL;

 

       pOriginalThunk = (PIMAGE_THUNK_DATA)(IMPORT->OriginalFirstThunk + pBegin2);

       pFirstThunk = (PIMAGE_THUNK_DATA)(IMPORT->FirstThunk + pBegin2);

 

       while (pOriginalThunk->u1.Function) //记住是Function

       {

              DWORD u1 = pOriginalThunk->u1.Ordinal;  //记住是Ordinal

              if ((u1 & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG)  //说明MSB不是1  不是以序号导入

              {

                     pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)pOriginalThunk->u1.AddressOfData + pBegin2);

                     char* OurFunName = (char*)(pImportByName->Name); //下边的计算也可以

                     //char* OurFunName2 = (char*)((DWORD)pOriginalThunk->u1.AddressOfData + pBegin2 + 2);

                    if (0 == strcmpi(FunName,OurFunName))

                    {

                      //获取以pFirstThunk开始的内存的信息并将其保存到MEMORY_BASIC_INFORMATION结构中

                      MEMORY_BASIC_INFORMATION mbi_thunk;

                      VirtualQuery(pFirstThunk, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));

                      //VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize, PAGE_READWRITE, &mbi_thunk.Protect);

                      //修改以pFirstThunk开始的内存的的保护属性为PAGE_READWRITE并将原保护属性保存到&dwOLD中

                      DWORD dwOLD;

                       VirtualProtect(pFirstThunk,sizeof(DWORD),PAGE_READWRITE,&dwOLD);

                       //更改真正MessageBoxA的地址为自己写的HookMBox函数的地址、、

                      //将真正的地址付给先前定义的函数指针

                       //结果正确的话就是当本程序调用messagebox的时候程序转去执行咱的HookMBox函数

                      //并且在咱的HookMBox函数中咱还调用了真正的messagebox函数、、

                      pMBox =(pOldMBox)(pFirstThunk->u1.Function);

                      pFirstThunk->u1.Function = (PDWORD)HookMBox;

                      //恢复之前更改的内存的保护属性为人家自己的、、            

                     VirtualProtect(pFirstThunk,sizeof(DWORD),dwOLD,0);

                     break;

              }

              }

              pOriginalThunk++;

              pFirstThunk++;

       }

       

       return 0;

}

int main()

{

  ReAPI("User32.dll","MessageBoxA");

  MessageBox(NULL,"没有HOOK到","HOOK",MB_OK);

}

H-KING
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
深入IAT HOOK
无心的博客
07-13 2148
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入表,在调用函数的时候,我们CALL的是导入地址表的一个地址,为什么要调用这里,而且在构造导入表的时候,导入名称表(INT)和导入地址表(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT表的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT表的填写 在上一篇文章中,我们构造导入表的时候,将 IAT 表和 INT 表都
Hook自定义MessageBox
09-18 952
// HookMsgBox.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" #include #include using namespace std; // MessageBoxW函数原型 // int WINAPI MessageBoxW(__in_opt HWND hWnd,__in_opt LPCWS
HOOKAPI(三)——HOOK所有程序的MessageBox
02-26
本实例要实现HOOKMessageBox,包括MessageBoxA和MessageBoxW,其实现细节与HOOKAPI(二)中介绍的基本类似,唯一不同的是,本实例要实现对所有程序的HOOKMessageBox,即无论系统中哪一个程序调用MessageBox都会被重定向到我们实现的新的API中。之前说过,在Windows中,每个进程都有自己的地址空间,进程不能调用别的进程中的函数。这里涉及到一个关键,如何让我们实现的新的API调用地址存在于所有进程的地址空间中呢?如果这无法实现的话,其他进程就无法调用到我们所实现的API。这里涉及到的关键就是,如何将我们的代码注入到别的进程中。这里有一个实现手
C/C++ IAT HOOK MessageBoxW
CSDN
07-16 4753
IATHook(Import Address Table Hook)是一种用于修改函数导入表的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入表中的函数地址,实现对目标函数的劫持和重定向。
IAT HOOK
weixin_44711063的博客
03-11 514
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
IAT Hook
Tandy12356_的博客
05-26 1580
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
hook-zwquerysysteminformation.rar_hook_进程隐藏
07-14
ring 0 hook zwquerysysteminformation 可以达到隐藏进程操作
C++基于hook iat改变Messagebox实例
09-04
主要介绍了C++基于hook iat改变Messagebox的方法,以实例形式展示了针对IAT(即导入地址表)以及hook的操作,有助于深入理解Windows程序设计原理,需要的朋友可以参考下
react-hook-layout:React中的布局管理
05-01
import { defineSlots , useLayout } from "react-hook-layout" ; const Page = ( ) => { const { Content , Footer , Header , SidebarLeft , SidebarRight } = defineSlots ( "Content" , "Footer" , "Header...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
通过分析PE文件格式,修改函数入口点,实现IAT HOOK
githook-maven-plugin:Maven插件安装本地git钩子
05-22
githook-maven-plugin Maven插件来配置和安装本地git钩子 保护您的VCS 在提交更改之前先检查一下更改始终是一个好主意:运行单元测试,执行构建等。但是,这样的检查列表很容易被忽略,尤其是在大型项目中。 为了...
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBoxHook 指定的函数
hook所有程序的messagebox
10-09
修改IAT的方式
4.3 IAT Hook 挂钩技术
CSDN
09-15 4324
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
IAT HOOK
azraelxuemo的博客
01-25 442
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改了IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 419
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
HOOK API(二)—— HOOK自己程序的 MessageBox
weixin_30420305的博客
06-22 170
HOOK API(二) —— HOOK自己程序的 MessageBox 原文出处:http://www.cnblogs.com/fanling999/p/4593352.html 程序源码:https://github.com/hfl15/windows_kernel_development/tree/master/demo_source_code/HookMessageBoxX 0x00...
IAT Hook 原理分析与代码编写
CSDN
10-30 4749
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
hook-gevent
最新发布
10-24
根据提供的引用内容,无法确定hook-gevent的具体含义。但是可以猜测,hook-gevent可能是一个Python模块或库,用于实现协程并发编程。协程是一种轻量级的线程,可以在单线程中实现并发执行,提高程序的效率和性能。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值