VC实现搜索IAT HOOK API

最新推荐文章于 2022-07-18 11:49:10 发布
最新推荐文章于 2022-07-18 11:49:10 发布
阅读量414 收藏
点赞数
分类专栏: Win32驱动程序设计 VC实用代码 文章标签: api hook descriptor winapi header byte
 

//
//本程序是用寻找并修改(Improt Address Table)的方法来实现HOOK一个API函数

#include <windows.h>
#include <stdio.h>
#include <tchar.h>

#define   UNICODE
#define   _UNICODE



PIMAGE_DOS_HEADER   pDosHeader;
PIMAGE_NT_HEADERS   pNTHeaders;
PIMAGE_OPTIONAL_HEADER    pOptHeader;
PIMAGE_IMPORT_DESCRIPTOR   pImportDescriptor;
PIMAGE_THUNK_DATA          pThunkData;
PIMAGE_IMPORT_BY_NAME      pImportByName;
HMODULE hMod;

int * addr = (int *)MessageBoxA;         //保存函数的入口地址
// 定义MessageBoxA函数原型
typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);
int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType);

int * myaddr = (int *)MessageBoxProxy;

int main()
{
         //OutputDebugString(_T("start !"));
         MessageBoxA(NULL, "原函数", "09HookDemo", 0);

         //-------------HOOK部分
         hMod = GetModuleHandle(NULL);

         pDosHeader = (PIMAGE_DOS_HEADER)hMod;
         pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE *)hMod + pDosHeader->e_lfanew);
         pOptHeader = (PIMAGE_OPTIONAL_HEADER)&(pNTHeaders->OptionalHeader);

         pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((BYTE *)hMod + pOptHeader->DataDirectory[1].VirtualAddress);

         while(pImportDescriptor->FirstThunk)
         {
                 char * dllname = (char *)((BYTE *)hMod + pImportDescriptor->Name);
                 //printf("函数模块:%s\n",dllname);

                 pThunkData = (PIMAGE_THUNK_DATA)((BYTE *)hMod + pImportDescriptor->OriginalFirstThunk);

                 int no = 1;
                 while(pThunkData->u1.Function)
                 {
                         char * funname = (char *)((BYTE *)hMod + (DWORD)pThunkData->u1.AddressOfData + 2);
                         PDWORD lpAddr = (DWORD *)((BYTE *)hMod + (DWORD)pImportDescriptor->FirstThunk) +(no-1);
                        
                         //printf("%4d:   ",no);
                         //printf("%30s",funname);
                         //printf("%8x\n",lpAddr);
                         //printf("%8x\n",*lpAddr);
                         //修改内存的部分
                         if((*lpAddr) == (int)addr)
                         {
                                 //修改内存页的属性
                                 DWORD dwOLD;
                                 MEMORY_BASIC_INFORMATION   mbi;
                                 VirtualQuery(lpAddr,&mbi,sizeof(mbi));
                                 VirtualProtect(lpAddr,sizeof(DWORD),PAGE_READWRITE,&dwOLD);
                                 //写内存
                                 WriteProcessMemory(GetCurrentProcess(),
                                                 lpAddr, &myaddr, sizeof(DWORD), NULL);
                                 //恢复内存页的属性
                                 VirtualProtect(lpAddr,sizeof(DWORD),dwOLD,0);
                         }
             //---------
                         no++;
                         pThunkData++;
                 }

                 pImportDescriptor++;
         }

         //用于测试的API函数
         MessageBoxA(NULL, "原函数", "09HookDemo", 0);

         getchar();
         return 0;
}

int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType)
{
         return          ((PFNMESSAGEBOX)addr)(NULL, "Gxter", "Gxter", 0);
         //用地址调用一个API函数
}


NemoHu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Delphi IATHook API
10-09
Delphi的IAT API Hook 算還沒完成 但已經可以實現Hook了 還沒搞定CreateRemoteThread 所以只能修改自己得IAT(好爛)
Hook技术简单介绍
Hu4
03-01 5578
Hook主要就是通过一定手段在程序执行过程中进行干预。 IAT Hook 篡改MessageBox 借用accills的例子 #include &lt;windows.h&gt; #include &lt;stdio.h&gt; #include &lt;imagehlp.h&gt; #pragma comment(lib,"imagehlp.lib") //以MessageBoxA的...
[DLL 劫持] 修改 IAT ,让程序启动时加载自己的 DLL
LYSM
11-27 888
请转到以下链接食用 ???? ????:https://www.cnblogs.com/LyShark/p/13697577.html
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2182
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
HOOK API 之修改IAT实现进程隐藏
tian028的博客
03-13 998
1 .技术与实现 每个调用的 API 函数地址都保存在 IAT 表中。 API 函数调用时,每个输入节( IMPORT SECTION )所指向的 IAT 结构如下图所示。 程序中每个调用API 函数的CALL指令所使用的地址都是相应函数登记在IAT表的地址。所以为了截获API 函数,我们将IAT表中的地址换成用户自己的API PROXY函数地址,这样每个API调用都是先调用用户自己的A...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT实现hook API的方法。本示例展示了完整的IAT hook例子
Native API 和一般 APIIAT Hook
09-03
通过一种方式统一实现对Native API 和一般 APIhook
C++封装IATHOOK类实例
09-04
主要介绍了C++封装IATHOOK类的实现方法,对IATHOOK实例进行了封装,非常具有实用价值,需要的朋友可以参考下
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
API钩子(IAT修改方式)
weixin_33935777的博客
05-23 501
在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转。 一、原理 PE结构的模块(exe/dll/...),有一个IAT表,保存着该模块使用到的API函数的地址,在默认的隐式API调用时,会先跳转到该IAT...
vmp IAT修复补丁源码-易语言
03-22
先用得到IAT表 Vmp2.0x Unpacker
通过消息hook把dll注入到别的进程,再通过 该进程的IAT 挂接api
07-20
通过消息hook把dll注入到别的进程,再通过 该进程的IAT 挂接api
(转)替换 IAT 中的导入函数地址实现 Hook API
05-27
替换 IAT 中的导入函数地址实现 Hook API
DELPHI钩子(hook)的理解
m0_60908963的博客
07-18 477
delphi 钩子
HOOKAPI之修改IAT法则
lxslove的专栏
10-29 1954
HOOK是一种WINDOWS下存在很久的技术了。 HOOK一般分两种1。HOOK MESSAGE  2。HOOK API 本问讨论的是HOOK API之修改IAT。(如果你是HOOK高手就不要看了) 在最初学HOOK-API的时候通常都是通过覆盖地址和修改IAT的方法。通过这两种技术,我们基本都可以实现对本进程的API函数进行HOOK了。但是在高兴之余会有点遗憾,怎么才能HOOK其他进程的API
IAT随便HOOK+反检测方法
kingswb的博客
06-15 3955
IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。 用法: Code:     HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);     HookImage(
node-v10.22.0-darwin-x64.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
讯飞ai虚拟人java对接api实现
03-28
讯飞AI虚拟人Java对接API实现主要包括以下步骤: 1. 注册讯飞开发者账号并创建智能客服应用。 2. 获取讯飞AI虚拟人API的AppID、API Key和API Secret。 3. 在Java项目中引入讯飞AI虚拟人API的SDK。 4. 根据API文档...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值