【转载】Win2K下地Api函数地拦截 VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory

最新推荐文章于 2018-04-09 22:55:36 发布
最新推荐文章于 2018-04-09 22:55:36 发布
阅读量611 收藏 1
点赞数
分类专栏: C++小功能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mangshe0/article/details/82923935
版权

Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数的拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法,虽然很古老,却很简单实用。
本文一介绍第二种方法在Win2k下的使用。第二种方法,Win98/me 下因为进入Ring0级的方法很多,有LDT,IDT,Vxd等方法,很容易在内存中动态修改代码,但在Win2k下,这些方法都不能用,写WDM太过复杂,表面上看来很难实现,
其实不然。Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为:
BOOL VirtualProtectEx(
    HANDLE hProcess,      // 要修改内存的进程句柄
    LPVOID lpAddress,     // 要修改内存的起始地址
    DWORD dwSize,         // 修改内存的字节
    DWORD flNewProtect,   // 修改后的内存属性
    PDWORD lpflOldProtect // 修改前的内存属性的地址
);
BOOL WriteProcessMemory(
    HANDLE hProcess,               // 要写进程的句柄
    LPVOID lpBaseAddress,          // 写内存的起始地址
    LPVOID lpBuffer,               // 写入数据的地址
    DWORD nSize,                   // 要写的字节数
    LPDWORD lpNumberOfBytesWritten // 实际写入的子节数
);
BOOL ReadProcessMemory(
    HANDLE hProcess,             // 要读进程的句柄
    LPCVOID lpBaseAddress,       // 读内存的起始地址
    LPVOID lpBuffer,             // 读入数据的地址
    DWORD nSize,                 // 要读入的字节数
    LPDWORD lpNumberOfBytesRead  // 实际读入的子节数
);
具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间,这点又和Win9x/me存在所有进程存在共享的地址空间不同,
因此,必须通过钩子函数和远程注入进程的方法,现以一个简单采用钩子函数对MessageBoxA进行拦截例子来说明:
其中Dll文件为:
//---------------------------------------------------------------------------

#include <windows.h>
//---------------------------------------------------------------------------
//   Important note about DLL memory management when your DLL uses the
//   static version of the RunTime Library:
//
//   If your DLL exports any functions that pass String objects (or structs/
//   classes containing nested Strings) as parameter or function results,
//   you will need to add the library MEMMGR.LIB to both the DLL project and
//   any other projects that use the DLL.  You will also need to use MEMMGR.LIB
//   if any other projects which use the DLL will be performing new or delete
//   operations on any non-TObject-derived classes which are exported from the
//   DLL. Adding MEMMGR.LIB to your project will change the DLL and its calling
//   EXE's to use the BORLNDMM.DLL as their memory manager.  In these cases,
//   the file BORLNDMM.DLL should be deployed along with your DLL.
//
//   To avoid using BORLNDMM.DLL, pass string information using

"char *" or
//   ShortString parameters.
//
//   If your DLL uses the dynamic version of the RTL, you do not need to
//   explicitly add MEMMGR.LIB as this will be done implicitly for you
//---------------------------------------------------------------------------

#pragma argsused
HHOOK     g_hHook;
HINSTANCE g_hinstDll;
FARPROC   fpMessageBoxA;

HMODULE hModule ;
BYTE    OldMessageBoxACode[5], NewMessageBoxACode[5];
DWORD   dwIdOld, dwIdNew;
BOOL   bHook = false;

void HookOn();
void HookOff();
BOOL Init();
int WINAPI  MyMessageBoxA(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType);
//---------------------------------------------------------------------------
// 空的钩子函数
LRESULT WINAPI Hook(int nCode, WPARAM wParam, LPARAM lParam)
{
    return(CallNextHookEx(g_hHook, nCode, wParam, lParam));
}
//---------------------------------------------------------------------------
// 输出,安装空的钩子函数
extern "C" __declspec(dllexport) __stdcall
BOOL InstallHook()
{
    g_hinstDll = LoadLibrary("project1.dll"); // 这里的文件名为Dll本身的文件名
    g_hHook = SetWindowsHookEx(WH_GETMESSAGE, (HOOKPROC)Hook, g_hinstDll, 0);
    if (!g_hHook)
    {
        MessageBoxA(NULL, "SET ERROR", "ERROR", MB_OK);
        return(false);
    }
    return(true);
}
//---------------------------------------------------------------------------
// 输出,Uninstall钩子函数
extern "C" __declspec(dllexport) __stdcall
BOOL UninstallHook()
{
    return(UnhookWindowsHookEx(g_hHook));
}
//---------------------------------------------------------------------------
// 初始化得到MessageBoxA的地址,并生成Jmp XXX(MyMessageBoxA)的跳转指令
BOOL Init()
{
    hModule = LoadLibrary("user32.dll");
    fpMessageBoxA = GetProcAddress(hModule, "GetSystemDirectoryA");
    if(fpMessageBoxA == NULL)
        return false;
    _asm
    {
        pushad
        lea edi, OldMessageBoxACode
        mov esi, fpMessageBoxA
        cld
        movsd
        movsb
        popad
    }
    NewMessageBoxACode[0] = 0xe9; // jmp MyMessageBoxA的相对地址的指令
    _asm
    {
        lea eax, MyGetSystemDirectory
        mov ebx, fpMessageBoxA
        sub eax, ebx
        sub eax, 5
        mov dword ptr [NewMessageBoxACode + 1], eax
    }
  &nbsp; dwIdNew = GetCurrentProcessId(); // 得到所属进程的ID
    dwIdOld = dwIdNew;
    HookOn(); // 开始拦截
    return(true);
}
//---------------------------------------------------------------------------
// 首先关闭拦截,然后才能调用被拦截的Api 函数
int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption, UINT uType)
{
    int nReturn;
    HookOff();
    nReturn = MessageBoxA(hWnd, "来自钩子中的内容", lpCaption, MB_OK | MB_ICONINFORMATION);
    HookOn();
    return(nReturn);
}
//---------------------------------------------------------------------------
// 本文代码由ccrun整理并在BCB 6.0环境下调试通过。
// Welcome to C++ Builder 研究
// http://www.ccrun.com
//---------------------------------------------------------------------------

void HookOn()
{
    HANDLE hProc;
    dwIdOld = dwIdNew;
    // 得到所属进程的句柄
    hProc = OpenProcess(PROCESS_ALL_ACCESS, 0, dwIdOld);
    // 修改所属进程中MessageBoxA的前5个字节的属性为可写
    VirtualProtectEx(hProc, fpMessageBoxA, 5, PAGE_READWR99vE,&dwIdOld);
    // 将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA
    WriteProcessMemory(hProc, fpMessageBoxA, NewMessageBoxACode, 5, 0);
    // 修改所属进程中MessageBoxA的前5个字节的属性为原来的属性
    VirtualProtectEx(hProc, fpMessageBoxA, 5, dwIdOld, &dwIdOld);
    bHook=true;
}
//---------------------------------------------------------------------------
// 将所属进程中JMP MyMessageBoxA的代码改为Jmp MessageBoxA
void HookOff()
{
    HANDLE hProc;
    dwIdOld = dwIdNew;
    hProc = OpenProcess(PROCESS_ALL_ACCESS, 0, dwIdOld);
    VirtualProtectEx(hProc, fpMessageBoxA,5, PAGE_READWR99vE, &dwIdOld);
    WriteProcessMemory(hProc, fpMessageBoxA, OldMessageBoxACode, 5, 0);
    VirtualProtectEx(hProc, fpMessageBoxA, 5, dwIdOld, &dwIdOld);
    bHook = false;
}
//--------------------------------------------------------------------------

 

int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
    switch (reason)
    {
        case DLL_PROCESS_ATTACH:
            if(!Init())
            {
                MessageBoxA(NULL,"Init","ERROR",MB_OK);
                return(false);
            }
        case DLL_THREAD_ATTACH:
        case DLL_THREAD_DETACH:
        case DLL_PROCESS_DETACH:
            if(bHook)
                UninstallHook();
   break;
      }
    return TRUE;
}



// 测试文件:
extern "C" __declspec(dllimport) __stdcall
BOOL InstallHook();
extern "C" __declspec(dllimport) __stdcall
BOOL UninstallHook();
//---------------------------------------------------------------------------
__fastcall TForm1::TForm1(TComponent* Owner)
        : TForm(Owner)
{
}
//---------------------------------------------------------------------------
// 本文代码由ccrun整理并在BCB 6.0环境下调试通过。
// Welcome to C++ Builder 研究
// http://www.ccrun.com
//---------------------------------------------------------------------------
void __fastcall TForm1::Button1Click(TObject *Sender)
{
    if(!InstallHook())
    {
        Label1->Caption = "Hook Error!";
    }
    MessageBoxA(NULL, "内容", "标题", MB_OK);
    // 可以看见"内容变成了"来自钩子中的内容"
    if(!UninstallHook())
    {
        Label1->Caption = "Uninstall Error!";
    }
}

mangshe0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
龙之谷多开器源码VC源码,游戏多开器源码,可以参考
12-17
游戏多开器源码,和刚上传的APIHOOK原理不一样,利用CreateProcess启动游戏,利用VirtualProtectEx WriteProcessMemory直接修改限制多开位置,达到多开目的。
VirtualProtect()
windroid.xyz
01-02 6456
VirtualProtect 改变调用进程的一段页的保护属性。要改变其他进程,请使用 VirtualProtectEx 函数。 BOOL WINAPI VirtualProrect( __in    LPVOID lpAddress , __in    SIZE_T dwSize , __in    DWORD flNewProtect , __out  PDWORD lpfl
Windows核心编程_修改其它进程里的内存值+示例:修改游戏分数
17岁boy的博客
04-09 8087
最近一直忙于Opencv图像处理方面的学习,以及工作,没有更新C/C++专栏方面的博客了,所以今天就给大家写个应用层方面的编程代码,可用于参考学习,本篇博客将运用WindowsSDK库所提供的API来编写一个修改其他进程里变量值的程序。在开始实际编写代码之前,先给大家介绍一下所需函数:OpenProcess、VirtualProtectEx、ReadProcessMemory、WriteProce...
VirtualProtect, VirtualProtectEx 让数据段可写 VirtualQueryEx
weixin_30509393的博客
03-09 1078
VirtualProtect, VirtualProtectEx 让数据段可写 VirtualQueryEx 让数据段可写? 好象看到年雪上有人用 VirtualProtectEx 修改数据段. VirtualQueryEx 好象和它们并不对应. posted on...
VirtualProtect函数
热门推荐
zacklin的专栏
04-19 3万+
首先我们来看看MSDN上对VirtualProtect函数的说明。 BOOL VirtualProtect(    LPVOID lpAddress,    DWORD dwSize,    DWORD flNewProtect,    PDWORD lpflOldProtect  );   各参数的意义为: lpAddress,要改变属性的内存起始地址。 dwSize,要改变属性的内存区
VB读取线程、句柄及写入内存的API代码实例
09-04
本篇文章将详细讲解如何在VB中使用API函数来实现这些功能。 首先,API函数`GetWindowThreadProcessId`用于获取指定窗口所属的线程ID和进程ID。通过传入窗口句柄`hwnd`,它可以返回一个长整型数值,即线程ID。第二个...
易语言API调试测试
07-22
易语言API调试测试源码,API调试测试,debug,WaitForDebugEvent,ContinueDebugEvent,VirtualProtectEx,CloseHandle,CreateProcessA,GetStartupInfoA,ResumeThread,TerminateProcess,GetThreadContext,SetThreadContext...
易语言远程DLL注入
07-22
易语言远程DLL注入源码,远程DLL注入,HookAPI,UnHookAPI,new_MoveWindow,HOOKAPI,ChangeAPIFristAddress,GetModuleHandle,GetProcAddress,VirtualQueryEx,VirtualProtectEx,WriteProcessMemory,GetCurrentProcess,...
补丁模块(带源码)InlinePatch,Hook,内存DLL注入等等
09-24
自己收集的一些常用函数,方便写补丁。 @备注: 自己收集的一些常用函数 ------------------------------ .版本 2 .子程序 Ansi2Unicode, 字节集, 公开, 将Ansi码转换为Unicode码 (返回转换后的字节集) .参数 Ansi...
易语言检测调试器源码,易语言程序调试反调试
07-22
易语言程序调试反调试源码,程序调试反调试,错误提示管理_,是否被调试,取进程文件名,CreateToolhelp32Snapshot,Process32First,Process32Next,OpenProcess,Module32First,TerminateProcess,CloseHandle,GetWindowsDirectoryA,FindWindowA,GetWindowThreadProce
bypass_virtual_protect
04-25
如果应用于游戏(例如游戏驱动保护hook了VirtualProtect函数)时,若采用标记TYPE_COW(test工程中的宏定义)会被游戏的CRC检测到,则使用TYPE_WRITE修改内存(被修改内存的地址若被CRC,请自行绕过,不在本例范围内)
任鸟飞逆向C++高级篇
09-08
【课程简介】本课程为任鸟飞逆向C++高级篇,注重在逆向中运用的技巧和思维逻辑,掌握后相关工具与手法可以熟练运用,在反汇编的世界里如鱼得水。 本套课程不只是一套深入学习C++的课程,更是一套深入学习汇编逆向课程、外挂与反外挂、软件安全的课程。 逆向思路技术随笔,请关注我的CSDN博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣咨询等请在博客私聊我。 PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】任鸟飞逆向C++系列课程是一条精心安排为掌握汇编逆向、外挂与反外挂、软件安全以及软件编程的学习路线,包括但不限于 基础篇、进阶篇、高级篇(本篇)、实战篇等,所以为保证您能学有所成请在学习本篇之前务必掌握基础篇与进阶篇!!! 基础篇CSDN学院链接:https://edu.csdn.net/course/detail/30509进阶篇CSDN学院链接:https://edu.csdn.net/course/detail/30680 【学员学成收获】认真学习并练习后将掌握:1、熟练游戏逆向思想与技巧。2、熟练通用辅助程序设计。3、熟练诸多逆向工具使用。4、熟练常见数据结构逆向分析。5、熟悉智能主线脚本编写。 
windows下生成dumpfile程序崩溃的问题(WriteProcessMemory)
woshiyuanlei的专栏
04-09 1297
之前在win xp和win7没有问题,用了win10就出问题了.解决办法:VirtualProtect函数使用VirtualProtectEx代替即可!所有代码如下:#ifndef __DUMP_H__ #define __DUMP_H__ #include &lt;stdlib.h&gt; #include &lt;stdio.h&gt; #include &lt;ostream&gt; #if...
VirtualProtectEx
最新发布
08-08
VirtualProtectEx 是一个 Windows API 函数,用于修改进程的虚拟内存保护属性。它可以用来更改一个进程中指定地址的内存页的保护属性。这个函数通常用于动态修改代码或数据段的属性,比如将代码段设置为可执行,数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值