应用层InLine HOOK

最新推荐文章于 2022-10-31 17:11:55 发布
最新推荐文章于 2022-10-31 17:11:55 发布
阅读量97 收藏
点赞数
分类专栏: 驱动篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36947774/article/details/114239925
版权
本文主要探讨了在Windows XP操作系统中,如何正确配置和设置以确保exe应用程序能够顺利运行的相关要点。
摘要由CSDN通过智能技术生成

exe程序在xp下运行需要设置的地方

在这里插入图片描述
在这里插入图片描述

// ConsoleApplication6.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>

typedef int(__stdcall *MessageBox_type)
(
HWND hWnd,
LPCTSTR lpText,
LPCTSTR lpCaption,
UINT uType
);

MessageBox_type old_MessageBoxA;	//定义函数指针,保存原MessageBox函数的地址,用于函数退出时恢复操作

#pragma pack(1)	//以1个字节的方式对齐
typedef struct _JMPCODE
{
	BYTE jmp;
	DWORD addr;
}JMPCODE, *PJMPCODE;

_declspec(naked)	//生成干净的汇编代码,不需要编译器添加堆栈平衡代码
VOID _stdcall my_MessageBox(
HWND hWnd,
LPCTSTR lpText,
LPCTSTR lpCaption,
UINT uType
)
{
	__asm
	{
		mov edi,edi
		push ebp
		mov ebp, esp
	}
	printf("InLineHook正在执行my_MessageBox");
	printf("取得的数据:%x,%s,%s,%x", hWnd, lpText, lpCaption, uType);
	__asm
	{
		mov ebx, old_MessageBoxA
			add ebx, 5
			jmp ebx
	}
}


VOID InLine_HookMessageBoxA()
{
	JMPCODE jcode;
	//取得MessageBoxA函数当前地址
	HMODULE h = LoadLibraryA("user32.dll");
	//获得在user32.dll中的地址
	old_MessageBoxA = (MessageBox_type)(GetProcAddress(h, "MessageBoxA"));
	jcode.jmp = 0xe9;		//e9相当于汇编语言中的JMP指令
	//my_MessageBox = 将要跳转到的地址,MessageBoxA = 原始地址
	jcode.addr = (DWORD)(&my_MessageBox) - (DWORD)(&MessageBoxA) - 5;	//获取JMP后面的绝对地址
	//将jcode的地址写MessageBoxA的地址上
	WriteProcessMemory(GetCurrentProcess(), &MessageBoxA, &jcode, sizeof(JMPCODE), NULL);
	CloseHandle(h);
}

int _tmain(int argc, _TCHAR* argv[])
{
	InLine_HookMessageBoxA();
	MessageBoxA(NULL, "PNDGMCSY", "PNDGMCSY", MB_OK);
	system("pause");
	return 0;
}
txPNDGMCSY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EasyHook应用层inline hook实例
XboxMicro
02-26 4642
大名鼎鼎的detour想必大家都知道,可以detour x64微软居然售价9999美刀...(此处省略吐槽一万字) 在此本菜向大家介绍一款美帝的免费开源库EasyHookinline hook),下面是下载地址 http://easyhook.codeplex.com/releases/view/24401 把头文件 lib文件全拷贝在工程文件夹中,把dll拷贝在%system32%
学习windows 应用层 inline hook 原理总结
cbh84663973的专栏
05-20 807
学习windows 应用层 inline hook 原理总结 inline hook 实际上就是指 通过改变目标函数头部的代码来使改变后的代码跳转到我们自己设置的一个函数里,产生hook。 今天就拿MessageBoxA这个api函数来做实验。功能就是当程序调用MessageBoxA 时,我们打印出MessageBoxA的参数   大概代码结构应该是这样 typedef in
XPInline HOOK 8042驱动实现键盘钩子的方法
06-07 1879
首先说说我写这个驱动的动机,说来特别搞笑。首先是QQ的Nportect有时候会搞得我的键盘按键混乱,这搞得我很郁闷。这使我对键盘产生了兴趣,但是真正让我动手写的原因却更有趣。公司有一台老机器给我们用于测试,但机器的键盘却不好用,我们只能把测试用的命令复制到文本中上传上去。如此的不便使我动手写了一个远程控制键盘的驱动,由于我不知道每个键的scancode,网上的资料又乱七八糟懒得仔细看了,所以顺编写
中转inline hook,不需要恢复首字节的hook
linuxheik的专栏
10-20 693
中转inline hook,不需要恢复首字节的hook 分类: HOOK2015-02-23 23:38 446人阅读 评论(1) 收藏 举报 HOOKinline hook 注:我实验的环境:win7 x64 经验证XP会有稍微区别,主要是我本次实验HOOK的API, 从XP到WIN7微软有了些许改变。 -----------------------------
Windows核心编程篇——Hook编程(钩子编程)(C#版)
csdn2990的博客
10-12 2667
应用程序有自己的截获方式,那么操作系统呢,也有自己的截获方式,那就是使用钩子技术。(这里以windows系统为例)
Windows Hook原理与实现
热门推荐
安全杂货铺
08-06 4万+
Windows Hook原理与实现 教程参考自《逆向工程核心原理》 1.概述 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理...
Inline Hook 钩子编写技巧
CSDN
10-17 1万+
有时候我们需要自定义Hook对象,这时候我们就可以使用本方法,直接在最后写上我们需要Hook的地址即可。Inline Hook 钩子编写技巧
驱动开发:内核层InlineHook挂钩函数
最新发布
CSDN
10-31 9483
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
inlineHook工具类
08-12
综上所述,`inlineHook`工具类是Android开发中的一种高级技巧,它使得开发者能够灵活地控制和修改应用程序的行为,但同时也需要注意其潜在的风险和挑战。熟练掌握`inlineHook`不仅可以提升开发效率,也有助于深入...
一个简单的inline hook
07-27
Inline hook是一种在编程中用于拦截和修改函数调用的技术,尤其在逆向工程和软件调试领域中应用广泛。它的基本思想是通过在目标函数的入口处插入自定义代码,使得在函数实际执行之前,我们的代码能够先运行,从而...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
在本文中,我们将深入探讨如何利用SSDT来对抗ring0级别的inline hook,并通过这种方式绕过这种类型的hook。 首先,我们要理解ring0 inline hook的概念。在x86/x64架构的CPU中,操作系统运行在ring0特权级别,这是...
绕过ring3下inline hook
03-19
inline hook是一种常用的调试和监控技术,通过修改目标函数的代码来插入自定义的行为。这种技术常用于恶意软件分析、逆向工程和软件调试。本文将详细讨论如何在Ring3环境下绕过inline hook,同时参考提供的Delphi...
Hook自定义MessageBox
09-18
总结,"Hook自定义MessageBox"项目是一个实践性的教程,旨在帮助开发者了解和掌握Hook技术,特别是Inline Hook的应用,同时通过修改系统默认的MessageBox,展示了Hook技术在系统层面上的强大功能和灵活性。...
驱动过游戏保护基础知识点
Windows内核学习笔记
02-27 1852
A、引用KeServiceDescriptorTable表 B、通过ServiceTableBase+偏移读出当前函数地址 C、用windbg测试读取的值 系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表 typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
内核操作相关API
Windows内核学习笔记
02-26 776
1、RtlCopyMemory 、RtlCopyBytes、RtlMoveMemory; 2、RtlZeroMemory、RtlFillMemory; 3、RtlEqualMemory; 4、ExAllocatePool、ExFreePool; 5、New(重载)、Delete操作符 一、内存的复制与移动 1、RtlCopyMemory 作用:把一个缓冲区的内容复制到另一一个缓冲区。 VOID RtlCopyMemory( IN VOID UNALIGNED *Destination, IN
驱动中的内存管理
Windows内核学习笔记
02-26 634
A、 物理内存 B、 虚拟内存 C、 Ring0地址和Ring3地址 D、 驱动程序和进程的关系 E、 分页和非分页内存 F、 分配内核内存 以下概念针对 32位Windows操作系统(32位及以上的CPU) A物理内存:(Physical Memory Address) 目前主流的操作系统还是32位的XP,而32位的系统提供的寻址能力是232 个字节,用户最多可以使用4GB的真实物理内存。0-0xFFFFFFFF 2G+0.5G+0.1 (2.75-3.25) 2G B虚拟内存:(Virtual Memo
NT式驱动的安装-1
Windows内核学习笔记
02-26 414
一丶加载内核驱动的常用API介绍. 加载内核驱动,使用我们的ring3下的API即可完成. API分别是: OpenSCManager 打开设备(服务)管理器 CreateService  创建服务(或者设备,根据参数不同而不同) OpenService   打开设备或者服务. StartService 启动服务,启动设备. ControlService 控制设备或者服务的状态. CloseServiceHandle 关闭服务或者设备的句柄 DeleteService
深入解析内核 Inline Hook 实现
通过这两个例子,文章展示了如何在实际操作中应用Inline Hook,同时也指出,虽然网上有很多关于Inline Hook的信息,但往往缺乏系统的介绍,本文旨在提供一个更为全面和系统的理解。 Inline Hook是一种强大但复杂的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值