API Hook 自身 MessageBoxW

最新推荐文章于 2024-07-23 17:40:00 发布
最新推荐文章于 2024-07-23 17:40:00 发布
阅读量727 收藏
点赞数
分类专栏: windowsAPI 文章标签: api HOOK 
#include "stdafx.h"
//原函数类型定义
typedef int (WINAPI* MsgBoxW)(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType);
MsgBoxW OldMsgBoxW = NULL;//指向原函数的指针
FARPROC pfOldMsgBoxW;  //指向函数的远指针
BYTE OldCode[5]; //原系统API入口代码
BYTE NewCode[5]; //原系统API新的入口代码 (jmp xxxxxxxx)
HANDLE hProcess = NULL;//本程序进程句柄
HINSTANCE hInst = NULL;//API所在的dll文件句柄
void HookOn();
void HookOff();
void GetApiEntrance();
void OnBnClickedBtnStartHook();
void OnBnClickedBtnCallMsgBox();
void OnBnClickedBtnStopHook();
int WINAPI MyMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)
{
    TRACE(lpText);
    HookOff();//调用原函数之前,记得先恢复HOOK呀,不然是调用不到的
    //如果不恢复HOOK,就调用原函数,会造成死循环
    //毕竟调用的还是我们的函数,从而造成堆栈溢出,程序崩溃。

    int nRet = ::MessageBoxW(hWnd, _T("MessageBoxW被HOOK了"), lpCaption, uType);

    HookOn();//调用完原函数后,记得继续开启HOOK,不然下次会HOOK不到。 

    return nRet;
}

//开启钩子的函数
void HookOn()
{
    ASSERT(hProcess != NULL);

    DWORD dwTemp = 0;
    DWORD dwOldProtect;

    //修改API函数入口前5个字节为jmp xxxxxx
    VirtualProtectEx(hProcess, pfOldMsgBoxW, 5, PAGE_READWRITE, &dwOldProtect);
    WriteProcessMemory(hProcess, pfOldMsgBoxW, NewCode, 5, 0);
    VirtualProtectEx(hProcess, pfOldMsgBoxW, 5, dwOldProtect, &dwTemp);

}

//关闭钩子的函数
void HookOff()
{
    ASSERT(hProcess != NULL);

    DWORD dwTemp = 0;
    DWORD dwOldProtect;

    //恢复API函数入口前5个字节
    VirtualProtectEx(hProcess, pfOldMsgBoxW, 5, PAGE_READWRITE, &dwOldProtect);
    WriteProcessMemory(hProcess, pfOldMsgBoxW, OldCode, 5, 0);
    VirtualProtectEx(hProcess, pfOldMsgBoxW, 5, dwOldProtect, &dwTemp);
}

//获取API函数入口前5个字节
//旧入口前5个字节保存在前面定义的字节数组BYTE OldCode[5]
//新入口前5个字节保存在前面定义的字节数组BYTE NewCode[5]
void GetApiEntrance()
{
    HMODULE hmod = ::LoadLibrary(_T("User32.dll"));
    OldMsgBoxW = (MsgBoxW)::GetProcAddress(hmod, "MessageBoxW");
    pfOldMsgBoxW = (FARPROC)OldMsgBoxW;

    if (pfOldMsgBoxW == NULL)
    {
        MessageBox(NULL, _T("获取原API入口地址出错"), _T("error!"), 0);
        return;
    }
    _asm
    {
        lea edi, OldCode        //获取OldCode数组的地址,放到edi
            mov esi, pfOldMsgBoxW //获取原API入口地址,放到esi
            cld   //方向标志位,为以下两条指令做准备
            movsd //复制原API入口前4个字节到OldCode数组
            movsb //复制原API入口第5个字节到OldCode数组
    }
    NewCode[0] = 0xe9;//实际上0xe9就相当于jmp指令
    _asm
    {
        lea eax, MyMessageBoxW //获取我们的MyMessageBoxW函数地址
            mov ebx, pfOldMsgBoxW  //原系统API函数地址
            sub eax, ebx             //int nAddr= UserFunAddr – SysFunAddr
            sub eax, 5           //nAddr=nAddr-5
            mov dword ptr[NewCode + 1], eax //将算出的地址nAddr保存到NewCode后面4个字节
            //注:一个函数地址占4个字节
    }
    HookOn();
}

void OnBnClickedBtnStartHook()
{
    DWORD dwPid = ::GetCurrentProcessId();
    hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);

    GetApiEntrance();
    printf("Hook已启动");
}


void OnBnClickedBtnCallMsgBox()
{
    HWND m_hWnd = GetConsoleWindow();
    ::MessageBoxW(m_hWnd, _T("这是正常的MessageBoxW"), _T("Hello"), 0);
}

//停止HOOK
void OnBnClickedBtnStopHook()
{
    HookOff();
    printf("Hook未启动");
}

void main()
{
    OnBnClickedBtnStartHook();
    OnBnClickedBtnStopHook();
    OnBnClickedBtnCallMsgBox();
}

HOOK前

HOOK后

原作者的程序是窗口的

我提取了下,改成dos了

原作者连接

「已注销」
关注
专栏目录
apihook.rar_APIHOOK_hook_记事本
09-19
在“apihook.rar_APIHOOK_hook_记事本”这个案例中,我们主要探讨的是如何对记事本程序(Notepad)的`MessageBoxW`函数进行Hook。 `MessageBoxW`是Windows API中用于显示消息框的函数,它接收一些参数,如消息文本...
MessageBoxA 和MessageBoxW
寻梦&之璐
01-05 7737
MessageBoxA(NULL, text, title, MB_OK) 第一个参数: HWND hWnd 传入一个句柄,这个窗口句柄代表的窗口就是这个消息窗口的所有者,这个如果为NULL的话,则消息框没有拥有窗口,即归桌面所有。 第二个参数: LPCSTR lpText可填入 窗口的内容字符串,赋值时在字符前面记得加个L,即按宽字符来编译。举例:LPCWSTR text = L"hello world"; LPCSTR代表char * 类型 ;LPCWSTR代表 WCHAR *类型 (补充一下
MessageBoxA 和 MessageBoxW的使用用法
森明帮大于黑虎帮的博客
12-15 1544
MessageBoxA 和 MessageBoxW的使用用法
API钩取:进程的隐藏与全局钩取
最新发布
wang19922012的博客
07-23 1333
hook第三方进程
简述API HOOK技术及原理
bing1564的博客
05-01 2375
我们观察内核代码的时候,很多时候一些函数调用都初始化的时候设置成回调函数的,例如上一个例子读取文件目录,那么proc有自己独有的读取目录处理函数,相对于的ext4、ceph、hpfs等等文件系统都有自己的处理函数,那么getdents的时候如何能调用到正确的处理函数呢?而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数又使用各自对应的结构体来初始化后续的调用函数。
Hook技术之API拦截(API Hook)
bobopeng
06-02 3万+
Inline Hook就是修改
MessageBox()函数用法及参数详解
热门推荐
qq_36333591的博客
03-27 3万+
MessageBox函数 显示模式对话框,其中包含系统图标,一组按钮和简要的特定于应用程序的消息,例如状态或错误信息。消息框返回一个整数值,指示用户单击的按钮。 语法 int MessageBox( HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType ); 参数 hWnd 类型:HWND 要创...
Delphi API HOOK 完全说明源码
08-30
在IT领域,API Hook是一种强大的技术,用于监控或修改特定函数的行为。在Delphi编程环境中,我们可以使用API Hook来拦截系统或第三方库中的函数调用,以便在调用前后执行自定义逻辑。这个"Delphi API HOOK 完全说明...
APIHook例子 hook api
06-06
首先,APIHook的核心思想是在目标函数执行前或执行后插入自己的代码。当一个程序调用被HookAPI时,实际执行的是我们插入的代码,而不是原始的API函数。这种技术广泛应用于调试、安全分析、性能优化和功能扩展等...
Delphi API HOOK完全说明
06-13
例如,如果要拦截`MessageBoxA`和`MessageBoxW`这两个函数,则需按照以下方式定义自己的函数: ```pascal function MyBoxA(hwn: hwnd; lptext: pchar; lpcaption: pchar; utype: cardinal): integer; stdcall; ...
Hook自己程序的MessageBoxW.zip
10-01
Hook自己程序的MessageBoxW——深入理解VC++中的钩子技术》 在Windows编程中,"Hook"(钩子)是一种强大的技术,它允许我们监控系统事件或特定进程中的函数调用。本教程将深入探讨如何在VC++环境中,利用MFC框架...
Hook自己的程序
04-03
最基础的Hook小程序,高手就不用下了http://www.cnblogs.com/muchme/p/4388885.html
InlineHookAPI HOOK从原理开始,一次性掌握劫持技术
qq_50749602的博客
09-22 611
在汇编中可以转移指令执行流程的指令是JMP和CALL,我们要干的就是在要将原来的执行流中插入JMP或CALL,在开始写代码之前,你需要想清楚使用JMP还是CALL,如何使用在于你的目的,使用JMP可以保证堆栈偏移不会发生变化,但需要计算两次JMP 的偏移量,而使用CALL则只需要计算一次,就是CALL的偏移量,而回跳地址直接使用ret,但缺点是CALL会更改堆栈的偏移,因为要压入回跳地址,我通常喜欢使用CALL来做劫持,因为堆栈的偏移相对于JMP那种繁琐的计算是不值一提(😄)的。
9.3 挂钩API技术(HOOK API
qq_36314864的博客
09-29 2859
9.3 挂钩API技术(HOOK API
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
翻肚鱼儿的博客
07-27 1845
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。 最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进.
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 714
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
没有HOOK就没有病毒?详谈HOOK API技术(转)
cuankuangzhong6373的博客
03-25 693
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻...
API Hook技术实现记事本程序保存时添加水印
神使墨丘利的博客
05-10 469
API Hook技=技术实现记事本程序保存时添加水印
逆向学习笔记二
qq_46804551的博客
06-20 356
逆向
API Hook技术详解与应用
"API Hook完全手册是一份详细探讨API Hook技术的文档,涵盖了API Hook的基本原理、难点以及实现方法。...通过学习这份手册,读者可以掌握API Hook技术,从而在自己的项目中实现更精细的控制和监控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值