写了个简单的内联API钩子类

最新推荐文章于 2024-06-12 17:20:49 发布
最新推荐文章于 2024-06-12 17:20:49 发布
阅读量789 收藏
点赞数
分类专栏: C++ 文章标签: api hook class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sder3445555/article/details/7985295
版权 
class CApiHook
{
public:

	CApiHook():m_lpOldProcAddr(0), m_lpNewProcAddr(0)
	{
		RtlZeroMemory(m_szJmpCode, sizeof(m_szJmpCode));
		RtlZeroMemory(m_szOldCode, sizeof(m_szOldCode));
	}

	BOOL Initial(LPVOID lpOldProcAddr, LPVOID lpNewProcAddr)
	{
		if(!lpOldProcAddr || !lpNewProcAddr)
		{
			m_lpOldProcAddr = NULL;
			m_lpNewProcAddr = NULL;
			RtlZeroMemory(m_szJmpCode, sizeof(m_szJmpCode));
			RtlZeroMemory(m_szOldCode, sizeof(m_szOldCode));
			return FALSE;
		}

		m_lpOldProcAddr = lpOldProcAddr;
		m_lpNewProcAddr = lpNewProcAddr;

#ifdef _WIN64
		m_szJmpCode[0] = 0x48;
		m_szJmpCode[1] = 0xB8;
		m_szJmpCode[2] = (UCHAR)(((ULONG_PTR)lpNewProcAddr) & 0xff);
		m_szJmpCode[3] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 8) & 0xff);
		m_szJmpCode[4] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 16) & 0xff);
		m_szJmpCode[5] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 24) & 0xff);
		m_szJmpCode[6] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 32) & 0xff);
		m_szJmpCode[7] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 40) & 0xff);
		m_szJmpCode[8] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 48) & 0xff);
		m_szJmpCode[9] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 56) & 0xff);
		m_szJmpCode[10] = 0xFF;
		m_szJmpCode[11] = 0xE0;
#else
		m_szJmpCode[0] = 0x68;
		m_szJmpCode[1] = (UCHAR)(((ULONG_PTR)lpNewProcAddr) & 0xff);
		m_szJmpCode[2] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 8) & 0xff);
		m_szJmpCode[3] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 16) & 0xff);
		m_szJmpCode[4] = (UCHAR)(((ULONG_PTR)lpNewProcAddr >> 24) & 0xff);
		m_szJmpCode[5] = 0xC3;
#endif	

		memcpy(m_szOldCode, m_lpOldProcAddr, sizeof(m_szOldCode));
		
		return TRUE;
	}

	BOOL Hook()
	{
		DWORD				dwOldProtect = 0;
		DWORD_PTR			dwWrite = 0;
		
		if(!m_lpOldProcAddr || !m_lpNewProcAddr)
			return FALSE;
		if(!m_szJmpCode[0] || !m_szOldCode[0])
			return FALSE;

		if(!VirtualProtect(m_lpOldProcAddr, sizeof(m_szJmpCode), PAGE_EXECUTE_WRITECOPY, &dwOldProtect))
			return FALSE;
		if(!WriteProcessMemory(GetCurrentProcess(), m_lpOldProcAddr, m_szJmpCode, sizeof(m_szJmpCode), &dwWrite))
			return FALSE;
		if(!VirtualProtect(m_lpOldProcAddr, sizeof(m_szJmpCode), dwOldProtect, &dwOldProtect))
			return FALSE;

		return TRUE;
	}
	
	BOOL UnHook()
	{
		DWORD			dwOldProtect = 0;
		DWORD_PTR		dwWrite = 0;
		
		if(!m_lpOldProcAddr || !m_lpNewProcAddr)
			return FALSE;
		if(!m_szJmpCode[0] || !m_szOldCode[0])
			return FALSE;

		if(!VirtualProtect(m_lpOldProcAddr, sizeof(m_szOldCode), PAGE_EXECUTE_WRITECOPY, &dwOldProtect))
			return FALSE;
		if(!WriteProcessMemory(GetCurrentProcess(), m_lpOldProcAddr, m_szOldCode, sizeof(m_szOldCode), &dwWrite))
			return FALSE;
		if(!VirtualProtect(m_lpOldProcAddr, sizeof(m_szOldCode), dwOldProtect,  &dwOldProtect))
			return FALSE;

		return TRUE;
	}

	LPVOID GetOldFuncAddr()
	{
		return m_lpOldProcAddr;
	}

	LPVOID GetNewFuncAddr()
	{
		return m_lpNewProcAddr;
	}

private:
#ifdef _WIN64
	UCHAR		m_szJmpCode[12];
	UCHAR		m_szOldCode[12];
#else
	UCHAR		m_szJmpCode[6];
	UCHAR		m_szOldCode[6];
#endif
	LPVOID		m_lpOldProcAddr;
	LPVOID		m_lpNewProcAddr;
};

sder3445555
关注
专栏目录
HOOK钩子技术1 inline HOOK内联钩子
Catch me if you can
05-02 4426
内联钩子改变函数的第一条指令,通过跳板跳到伪造的函数上。 函数在使用过程中有时候要执行本身已经挂钩的函数,这样就需要先解钩。
内联钩子原理
qq_43481350的博客
09-02 423
左侧是一个正常情况下的send函数的调用,右侧是使用了内联钩子以后的调用情况。 对比可以发现右侧的开始会调用jmp函数,jmp指定会跳转到恶意代码的位置执行,恶意代码执行之后会继续执行send函数,最后再用jmp执行跳回去,这样就可以完整执行send函数的功能并且不会被发现。 ...
Inline HOOK
Tandy12356_的博客
05-28 4363
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
浅谈内联钩取原理与实现
最新发布
蚁景网安学院
06-12 686
导入地址表钩取的方法容易实现但是存在缺陷,若需要钩取的函数不存在导入地址表中,那么我们就无法进行钩取,出现某些情况时,导入函数是不会存储在导入地址表中的。有一种钩取方法解决上述问题即内联钩取(inline hook)。
使用jprobe构建镜像协议栈的原理与感悟
Netfilter
06-07 6633
突然回想起了往事,那是2007年的冬天的一个周五,我在看我的老湿调试Linux协议栈的IP层,只见他修改了路由查找的逻辑,然后直接make install了一下就即时生效了,当时我只知道的是,修改了这个逻辑需要重新编译内核,而他并没有重新编译,好像只是编译了一个文件...编译内核这个耗时又无聊的工作阻碍了我对Linux内核的探索进度,直到今天,我依然对编译内核有相当的恐惧,不怕出错,而是怕磁盘空间
c++钩子函数:copy hook_linux函数hook
12-27
在Windows系统中,钩子函数通常通过Windows API的SetWindowsHookEx函数实现,但在Linux环境下,由于其内核和API机制的不同,实现钩子的方式有所不同。Linux采用内核模块或用户空间的libsysfs库等方式来实现文件操作...
APIHook、InlineHook库,使用C++11编,可将回调函数绑定到成员函数
11-29
APIHook和InlineHook是两种常见的钩子技术,用于在运行时拦截和修改程序的行为。在C++编程中,这两种技术可以被用来实现诸如调试、插件系统、性能分析等功能。本库利用C++11的新特性,提供了一种优雅的方式来实现...
windows账户提权 API.zip
01-22
6. **Inline Hook ZwCreateProcess通过修改内存来实现提升进程权限用户名为SYSTEM** - 内联钩子(Inline Hook)是一种修改函数行为的技术,这里可能是利用它来在`ZwCreateProcess`调用中篡改参数,以创建以SYSTEM...
delphi api hook
06-09
8. `Detour.pas`:这个名字暗示了它可能包含了一个叫做“Detour”的组件或,通常用于实现钩子功能,比如Microsoft的Detours库,它提供了API钩子的便利实现。 在实现API钩子时,开发者需要关注以下几点: - **...
学习笔记之-window hook (x86 和 64 版本) 初探
退休码农的自留地
12-29 646
缘由:本来想做个微信的机器人,发现wev方法已经歇菜了,微信貌似不让web版好好工作了,因此就顺带看了一下hook技术,调试了一个网上现成的代码。竟然调试成功,并且有了一点儿体会。 为了简单起见,介绍部分,主要来自各味前辈的总结。 文章主要参考 HOOK API入门之Hook自己程序的MessageBoxW(简单入门) 本文的目的是对其中的部分代码进行更小白的解释 Hook的本意是钩子,意思比较形象,就是对应用程序勾一下,干点儿别的。 下面进入我的个人理解的介绍: hook的个人入门级理解## 1、hook
x64 Inline Hook 代码封装
CSDN
09-11 1万+
Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持.
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
翻肚鱼儿的博客
07-27 1843
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。 最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进.
C/C++ Inline-hook内联钩子)函数的实现,Linux/Windows AMD64 IL平台支持!
liulilittle的博客
11-05 629
Windows 平台(VC++ ##AMD64)钩子汇编指令:MOV RAX;Linux 平台(GCC ##AMD64)钩子汇编指令:JMP RVA。
windows下的内联hook实现
其疾如风 其徐如林 侵略如火 不动如山
05-19 6304
HOOK技术正如其名,就像是代码中放下的一个“钩子”,它在静静地等待捕获系统中的某个消息或动作。在编程技术中,钩子技术在DOS时代就已经存在了。在windows下,钩子按照实现技术的不同和挂钩位置的不同,其种也是越来越多,但是设置钩子的本质却是始终不变的。 那么钩子究竟有什么用?它能干的事非常多,例如输入监控、API拦截、消息捕获、改变程序执行流程等。杀毒软件会用HOOK技术钩住一些API函数
HOOK钩子技术2 内联钩子Inline HOOK 通过DLL注入
Catch me if you can
05-02 2261
dll注入很有意思,它最大的优势在于一旦这个dll被注入,就可以访问宿主程序整个内存空间。因此直接的操作dll是可以达到间接操作目标宿主程序的作用。这次继续使用CILHook,不过这次是在目标程序内使用,而不是像1一样自己跟自己玩。
AES加密算法原理的详细介绍与实现
热门推荐
qq_28205153的博客
02-19 81万+
AES简介高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法(微信小程序加密传输就是用这个加密算法的)。对称加密算法也就是加密和解密用相同的密钥,具体的加密流程如下图: 下面简单介绍下各个部分的作用与意义: 明文P 没有经过加密的数据。密钥K 用来加密明文的密码,在对称加密算法中,加密与解密的密钥是相同的。密钥为接收方与发送方协商产生
C/C++:Windows编程—Inline Hook内联钩子(下)
重庆李四
06-10 1697
前言 在上节中介绍了 InlineHook 钩子函数,主要是通过jmp 目标地址(转为机器码E9 偏移量) 来实现的,是修改被Hook函数首地址处的 5个字节的内容。这里再介绍另一种方法,修改被Hook函数首地址处的7字节的内容。我们看下图的汇编指令 之前是jmp 目标地址(5字节),这次是将目标地址放到 eax寄存器中 这里是2条汇编指令(00B417E4-00B417DF = 7字节)。他们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值