EasyHook应用层inline hook实例

最新推荐文章于 2024-08-09 07:13:14 发布
最新推荐文章于 2024-08-09 07:13:14 发布
阅读量4.6k 收藏 4
点赞数
分类专栏: Windows系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xboxmicro/article/details/19946003
版权
本文介绍了如何使用开源库EasyHook进行应用层inline hook,以监控特定进程(如Troj.exe)的行为。通过创建远程线程将DLL注入目标进程,并通过命名管道进行进程间通信,拦截并处理Winexec和CopyFileW函数调用。提供了相关源代码文件的说明。
摘要由CSDN通过智能技术生成

大名鼎鼎的detour想必大家都知道,可以detour x64微软居然售价9999美刀...(此处省略吐槽一万字)

在此本菜向大家介绍一款美帝的免费开源库EasyHook(inline hook),下面是下载地址

http://easyhook.codeplex.com/releases/view/24401 把头文件 lib文件全拷贝在工程文件夹中,把dll拷贝在%system32%中

 

好的,现在切入正题。

假设我们的工程是要监控Troj.exe的行为。A.exe为监控应用程序,A.exe先遍历当前进程,若找到Troj.exe则将B.dll远程线程注入到Troj.exe进程中

PS: XP CreateRemoteThread win7用NT系列函数,如下:

复制代码 
 1 typedef DWORD (WINAPI *PFNTCREATETHREADEX)  
 2     (   
 3     OUT PHANDLE             ThreadHandle,     
 4     ACCESS_MASK             DesiredAccess,    
 5     LPVOID                  ObjectAttributes,     
 6     HANDLE                  ProcessHandle,    
 7     LPTHREAD_START_ROUTINE  lpStartAddress,   
 8     LPVOID                  lpParameter,      
 9     BOOL                    CreateSuspended,      
10     DWORD                   dwStackSize,      
11     DWORD                   dw1,   
12     DWORD                   dw2,   
13     LPVOID                  Unknown   
14     );   
15 
16 BOOL IsVistaOrLater()  
17 {  
18     OSVERSIONINFO osvi;  
19     ZeroMemory(&osvi, sizeof(OSVERSIONINFO));  
20     osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);  
21     GetVersionEx(&osvi);  
22     if( osvi.dwMajorVersion >= 6 )  
23     {
24         return TRUE;  
25     }
26     return FALSE;  
27 }  
28 
29 BOOL MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf)  
30 {  
31     HANDLE      hThread = NULL;  
32     FARPROC     pFunc = NULL;  
33     if( IsVistaOrLater() )    // Vista, 7, Server2008  
34     {  
35         pFunc = GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtCreateThreadEx");  
36         if( pFunc == NULL )  
37         {  
38             ErrorReport(GetLastError()); 
39         }  
40         ((PFNTCREATETHREADEX)pFunc)(&hThread,  
41             0x1FFFFF,  
42             NULL,  
43             hProcess,
最低0.47元/天 解锁文章
BMOP
关注
专栏目录
Frida Android hook
墨鱼菜鸡
07-11 3701
From:https://eternalsakura13.com/2020/07/04/frida/ 目录 1、r0ysue 大佬 2、Frida 环境 2.1 pyenv 2.2 frida 安装 2.3 安装 objection 2.4 frida 使用 frida 帮助 和 frida-server 帮助 2.5 frida 开发...
C# Hook原理及EasyHook简易教程
weixin_30701521的博客
03-11 1179
前言   在说C# Hook之前,我们先来说说什么是Hook技术。相信大家都接触过外挂,不管是修改游戏客户端的也好,盗取密码的也罢,它们都是如何实现的呢?   实际上,Windows平台是基于事件驱动机制的,整个系统都是通过消息的传递来实现的。当进程有响应时(包括响应鼠标和键盘事件),则Windows会向应用程序发送一个消息给应用程序的消息队列,应用程序进而从消息队列中取出消息并发送给相应窗口...
EasyHook实例源码C#
05-29
C#开发用的 EasyHook 组件 本人用过,亲自测试过有用。 上传分享给大家使用。里面有C#实例源码
EasyHook 源码分析与使用教程
最新发布
gitblog_00153的博客
08-09 327
EasyHook 源码分析与使用教程 EasyHookEasyHook - The reinvention of Windows API Hooking项目地址:https://gitcode.com/gh_mirrors/ea/EasyHook 1. 项目目录结构及介绍 EasyHook 项目的主要目录结构如下: . ├── Docs # 文档资料 │ ├── ...
C#使用EasyHook注入简单案例
04-27
C#使用EasyHook注入简单案例。C#使用EasyHook注入简单案例。C#使用EasyHook注入简单案例。
easyhook库的使用例子
07-19
easyhook的简单使用方法,含源码解释,简单明了
EasyHook库的使用
bruce135lee的专栏
08-03 1496
导语### EasyHook的官网,最近在做的项目中,因为要去过滤掉cmd的弹框,所以用到了这个库, 在使用的过程中,遇到了一些坑,然后也解决了一些问题,特再次记录下来,方便自己以后查阅 1.了解#### 首先我查找了网上的相关资料,都查的有点晕了,但有用的就那么几个,其它的就是引用这个几个例子,这样感觉效率不高,后面我还是先参照了官网的例子,才觉得真正对easyhook有了一个全面的了...
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe部分是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModulePath) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModulePath, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
Hook技术与网络数据包嗅探
在本章中,我们将介绍Hook技术以及其在网络数据包嗅探中的应用。首先,我们将解释Hook技术的定义和作用,以及网络数据包嗅探的概念和应用场景。 ## 1.1 Hook技术的定义和作用 Hook技术是一种通过修改或者拦截系统...
计算机算法常用术语中英对照(分为两部分 其中一部分表格形式 )
weixin_30488085的博客
06-25 4875
第一部分 Data Structures 基本数据结构 Dictionaries 字典 Priority Queues 堆 Graph Data Structures 图 Set Data Structures 集合 Kd-Trees 线段树 Numerical Problems 数值问题 Solving Linear Equations 线性方程组 B...
EasyHook
01-06
EasyHook
C#EasyHook_easyhook_
10-03
Easyhook demo 供大家学习和参考
远程注入的EasyHook
12-28
EasyHook使用中的一种特殊情况: 需要实现这样一个功能,截获打开文件(CreateFile)和获取文件大小(GetFileSize)函数,且在打开文件时需要获取文件的大小,即在HookCreateFile中同时使用CreateFile和GetFileSize。此时问题来了。CreateFile此时调用的是真实的API,而GetFileSize将会调用HookGetFileSize。如果存在更多的函数,必将导致问题。
EasyHook-2.7 DLL
06-14
EasyHook DL文件 ,非源码
最近美团前端面试题目整理
loveX001的博客
10-26 740
输出结果如下: promise.then 是微任务,它会在所有的宏任务执行完之后才会执行,同时需要promise内部的状态发生变化,因为这里内部没有发生变化,一直处于pending状态,所以不输出3。Nginx 是一款轻量级的 Web 服务器,也可以用于反向代理、负载平衡和 HTTP 缓存等。Nginx 使用异步事件驱动的方法来处理请求,是一款面向性能设计的 HTTP 服务器。传统的 Web 服务器如 Apache 是 process-based 模型的,而 Nginx 是基于event-driven模型的
EasyHook实用指南
weixin_30902675的博客
07-23 256
所谓实用指南就是全是干货,没那么多虚头巴脑的东西,真正要用的人会发现对自己有用的东西,浅尝辄止的人看起来会不知所云。 FileMon自己实做的过程中遇到的问题: 1. exe和dll文件必须强命名,对于VS2010来说在项目属性中就可以设置,无需手工用命令行产生再手工加入,位置在“项目属性”->“签名”->选中“为程序集签名”,然后在下拉框中选择“<新建...>”,输入...
EasyHook实现
weixin_33834679的博客
05-13 469
using System; using System.Runtime.InteropServices; using System.Windows.Forms; using System.Collections.Generic; using System.Diagnostics; namespace EasyHook { public enum HookType ...
深入理解Android inline hook:代码实例解析
在Android开发中,inline hook是一种高级的调试和修改应用行为的技术,它允许开发者在运行时替换特定函数的行为,而无需对原始代码进行修改。本篇文章将详细介绍如何在Android环境中实现inline hook。 首先,我们要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值