APIHOOK之拦截TerminateProcess

最新推荐文章于 2022-11-23 01:19:46 发布
最新推荐文章于 2022-11-23 01:19:46 发布
阅读量2.4k 收藏 1
点赞数 1
文章标签: winapi null hook dll path basic
用SetWindowsHooKEx加载修改进程IAT的DLL实现OpenProcess拦截,导致Explorer或taskmgr出错?
[ 来源:ITWENKU 时间:2006-11-16 17:52:10 | 浏览:1人次 ]
 

使用了windows核心编程里面的APIHOOK类,程序都写好了,在几台电脑试过,只有我电脑一运行,到SetWindowsHooKEx时,系统注入DLL到所有进程,修改IAT就出错。。我晕。。调了好几天了。。

我找到一个相关的。但还是不大明白里面说的意思
http://www.codeproject.com/dll/Win32APIHooking_Trouble.asp
为什么其他电脑都没有问题,我的系统确不行,都是XP系统,我的系统重装了也一样存在问题。同事说是我更新了系统补丁可能不给我修改系统进程IAT导致。那没有理由其他系统可以啊!

那位搞HOOK的高手帮帮我。。我Q:191972323 EMAIL:191972323@qq.com
我一会找个地方把DLL和TEST的代码上传一下。。大家都帮忙允许一下好吗?》顺便说说系统版本!
 <script src="../../ads/ad468_1.js" type="text/javascript"></script>

// 自定义TerminateProcess函数
BOOL WINAPI Hook_TerminateProcess(HANDLE hProcess, UINT uExitCode)
{
typedef BOOL (WINAPI *PFNTERMINATEPROCESS)(HANDLE, UINT);

// 取得主模块的文件名称
char szPathName[MAX_PATH];
::GetModuleFileName(NULL, szPathName, MAX_PATH);

// 构建发送给主窗口的字符串
char sz[2048];
wsprintf(sz, "/r/n 进程:(%d)%s/r/n/r/n 进程句柄:%X/r/n 退出代码:%d",
::GetCurrentProcessId(), szPathName, hProcess, uExitCode);

// 发送这个字符串到主对话框
COPYDATASTRUCT cds = { ::GetCurrentProcessId(), strlen(sz) + 1, sz };
if(::SendMessage(::FindWindow(NULL, "进程保护器"), WM_COPYDATA, 0, (LPARAM)&cds) != -1)
{
// 如果函数的返回值不是-1,我们就允许API函数执行
return ((PFNTERMINATEPROCESS)(PROC)g_TerminateProcess)(hProcess, uExitCode);
}
return TRUE;
}

// 挂钩TerminateProcess函数
CAPIHook g_TerminateProcess("kernel32.dll", "TerminateProcess",
(PROC)Hook_TerminateProcess);


///

#pragma data_seg("YCIShared")
HHOOK g_hHook = NULL;
#pragma data_seg()

static HMODULE ModuleFromAddress(PVOID pv)
{
OutputDebugString("==>ModuleFromAddress()");
MEMORY_BASIC_INFORMATION mbi;
if(::VirtualQuery(pv, &mbi, sizeof(mbi)) != 0)
{
OutputDebugString("<==ModuleFromAddress");
return (HMODULE)mbi.AllocationBase;
}
else
{
OutputDebugString("<==ModuleFromAddress()");
return NULL;
}
}

static LRESULT WINAPI GetMsgProc(int code, WPARAM wParam, LPARAM lParam)
{
return ::CallNextHookEx(g_hHook, code, wParam, lParam);
}

BOOL WINAPI SetSysHook(BOOL bInstall, DWORD dwThreadId)
{
OutputDebugString("==>SetSysHook()");
BOOL bOk;
if(bInstall)
{
g_hHook = ::SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc,
ModuleFromAddress(GetMsgProc), dwThreadId);
bOk = (g_hHook != NULL);
}
else
{
bOk = ::UnhookWindowsHookEx(g_hHook);
g_hHook = NULL;
}
OutputDebugString("<==SetSysHook()");
return bOk;
}

上面是DLL的代码。是拦截TerminateProcess的,但一样出错!

代码上传到这里来:
http://bbs.driverdevelop.com/read.php?tid=120141&page=e&#a

我做过同类的事情 是因为WINXP DEP数据执行保护造成的

VirtualQueryEx
VirtualProtectEx
可以修改内存权限
 
sanshao27
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于API HOOK(OpenProcess),根据网上文章改写
旺财
01-12 4364
 以下是部分程序,在VC++6.0   Plat  SDK 2003 SP1下编译通过#include #include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD  dwCurrentProcess
利用HOOK API做进程保护器
bruce135lee的专栏
08-03 1688
其实就很简单,只是对TerminateProcessHOOK,因为要阻止的不是本进程的,所以要用到全局钩子,也就是把他做成dll形式的! 首先,对前面的HOOK API进行封装CAPIHook:   [cpp] view plain copy /////////////////////////////////////////////////////////   // APIHook...
HOOK TerminateProcess:
一花一世界
07-12 3661
     做的那个HOOK TerminateProcess函数的程序终于有点模样了, 比较喜欢JMP方式的彻底,所以就用了。美中不足的就是不能指定要保护的进程,因我在取TerminateProcess的参数时出现了一个怎么也想不通的问题,同样的一个位置,系统自带的任务管理器和sysinternals的ProcessEXp竟然会有不同的解释,对于此函数来说[ESP+8]处保存的应该是进
利用Hook API函数OpenProcessTerminateProcess来防止任务管理器结束进程【转】
weixin_30834019的博客
10-31 744
思路:其实比较简单,还是利用DLL,首写跟据API函数OpenProcessTerminateProcess的结构自已编写两个与这两个API一样的函数,再利用GetProcAddress获取系统的那两个API函数入口地址,最后用WriteProcessMemory将你写的函数的地址替换掉原来系统的函数地址。这样所有调用这两系统API都将先执行你的函数。如果只Hook其中一个函数比如只...
2022CTF培训(二)Hook进阶&反调试
sky123博客
11-23 1277
已在 GitHub 上被开源。是微软官方的 Hook 软件包,用于监视和检测 Windows 上的 API 调用(实际上不仅仅限于对 API 函数的调用监控,还可以实现任意函数调用的监控,得益于非常易于使用的调用方式)。Detours 可以用于拦截 ARM,x86,x64 和 IA64 计算机上的二进制函数。Detours 最常用于拦截应用程序中的 Win32 API 调用,例如添加调试用的工具、 拦截代码在运行时动作等等。通过跳转到用户提供的回调函数的无条件来替换目标功能的前几条指令。
测试11_hookapi_TerminateProcess_pleasurejx5_源码
10-04
使用EasyHook列举实例,加深对齐理解。
API HOOK易语言IP端口拦截转向源码
04-20
API HOOK易语言IP端口拦截转向源码 按照源码把IP端口改成你想要的就行了 然后注入DLL
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
易语言 拦截文件读写 APIhook
05-06
易语言 拦截文件读写 APIhook 拦截打开文件 拦截文件读入 拦截取文件长度 拦截文件读写位置
APIHook.rar_API hooking_APIHOOK_TerminateProcess _hooking
09-24
API hooking example. Current example is TerminateProcess.
HOOK任务管理器TerminateProcess的软件源码
04-09
HOOK任务管理器TerminateProcess本人收集了一些技巧供大家参考,希望斑竹能多放一些时间。按字母或数字顺序排列列表框中的列表项. 将以下代码加入到你的程序中.
使用HOOK拦截任务管理器中直接杀进程的消息
05-08
这是本人在网上搜索到的资料,跟大家分享,感谢那个提供源码的网友. 大家都知道,在任务管理器进程标签中直接杀进程,是直接杀,不交给用户处理.很多人都在为了防止自己的进程被误杀而苦苦思索,但是一般的拦截消息的方法又几乎都不管用. 在这里,给大家一个Delphi的源码,使用HOOK进行拦截处理任务管理器来实现. 在附件的文档中包含了源码,共分为两个部分:exe测试部分,Dll部分(HookDll,unithook). 我已经亲自编译测试过,可以实现拦截任务管理器的消息. 再次感谢那个网友(没有记住名...)! PS:附件中的Word是使用Office2010保存的docx格式,如果您不能打开我这个文档,可以在我的资源目录下找这个补丁安装上就可以了. FileFormatConverters_Office_doc_to_docx 这个是微软提供的,可以使Office2003等早期版本打开新的docx格式文档. 感谢大家光临!
VB API Hook拦截类代码VBAPIHooker.rar
08-28
VB API Hook拦截类代码VBAPIHooker
python hook禁止结束进程_HOOK API(四)—— 进程防终止
weixin_39662611的博客
12-16 700
//MonitorDll.cpp : 定义 DLL 的初始化例程。//#include"stdafx.h"#include"MonitorDll.h"#ifdef _DEBUG#define new DEBUG_NEW#endif/*全局变量*///共享变量#pragma data_seg("Share")HWND g_hwnd= NULL; //主窗口句柄,加载HOOK时传...
hook方式进程创建监控,进程保护
kernweak的博客
05-30 2971
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
深入浅出HOOK API及完美应用
Fido
02-15 1833
Hook Win32 API 是一项有趣而实用的WINDOWS系统编程技术,应用领域十分广泛。虽然已经有不少的文章介绍过 Hook Win32 API 的方法了,我还是来作些简单的介绍,以便大家了解其工作原理。    Hook Win32 API 是什么意思?就是钩住Win32 API;那又何谓“钩”呢?就是绕弯的意思,让Win32 API函数的调用先绕一个弯路,在它执行实际功能之前,我们可以
实现简单的ring3进程保护、hook OpenProcess函数、简单分析
weixin_34277853的博客
02-20 1066
简单的HOOK OpenProcess函数、达到不让任务管理器使用OpenProcess来获取我们要保护的进程的句柄、从而达到使任务管理器使用TerminateProcess无法结束该进程的目的、、、当我们HOOK到OpenProcess的时候、我们要在自己的MyOpenProcess中、判断一下、所打开的进程是否为我们要保护的进程、如果是简单的返回错误码0、如果不是就在我们...
api hook 拦截 复制
最新发布
08-04
API Hook是一种用于拦截应用程序的API调用的技术。拦截复制API的目的是为了在复制操作发生之前或之后对其进行自定义处理。 通过API Hook,我们可以修改或扩展应用程序的行为。当拦截复制API时,可以在复制操作执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值