aardio - 远程APIHOOK拦截弹窗

已于 2022-08-13 17:37:58 修改
阅读量2.5k 收藏 9
点赞数 1
分类专栏: aardio Windows 文章标签: windows hook aardio
于 2022-02-07 21:09:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdlgq/article/details/122814480
版权
aardio 同时被 2 个专栏收录
138 篇文章 279 订阅
订阅专栏
Windows
12 篇文章 2 订阅
订阅专栏

为了写这个教程,自己写了个CrackMe。(总不能拿别人的软件写教程,那就侵权了^-^)

运行效果如下:

软件运行后,弹出广告网址和信息框。我们的目的就是去掉这两个东西。

一、分析:

1、弹出网址,因为用的默认浏览器,而不是ie,所以一般都是用ShellExecute函数。

2、信息框,一般是MessageBox函数,如果是自动关闭的,就是MessageBoxTimeout函数。

二、hook方式:

目前我觉得比较简单实用的有三种:

1、写dll,定义替代函数,然后用aardio进行注入+hook。

2、写dll,在dll里写hook代码,然后用aardio注入即可。

3、写dll,在dll里写hook代码,然后在exe里添加输入表。当然,这就跟aardio无关了,咱们就暂不考虑这种最简单的方式了。

三、第一种方式:

以第一种方式为例,演示如何用aardio进行外部api的hook。示例中的文件名结尾都为1。

1、写dll,定义替代函数。替代函数要与目标函数参数数量一致。以易语言为例,代码如下:

编译为 func1.dll

2、用aardio代码进行hook,hook时自动进行注入。代码如下:

import process.apiHook
//启动并暂停进程
var p=process.apiHook("\CrackMe.exe",,{suspended=true})
//安装hook,钩住ShellExecuteA函数,用自定义的函数代替
p.install("shell32.dll", "ShellExecuteA","\func1.dll", "myShellExecuteA")
//安装hook,钩住MessageBoxA函数,用自定义的函数代替
p.install("user32.dll", "MessageBoxA","\func1.dll", "myMessageBoxA")
//恢复进程
p.resume()

3、运行效果,不会再弹出广告网址和信息框:

四、第二种方式:

以第二种方式为例,演示如何用aardio进行外部api的hook。示例中的文件名结尾都为2。

1、写dll,在dll里写hook代码,这样灵活性巨大。

 编译为 func2.dll

2、然后用aardio注入即可。

import process.apiHook
// 启动并暂停目标进程
var p=process.apiHook("\CrackMe.exe",,{suspended=true})
// 注入dll
// 特别注意这里的一个小坑:文件要提供全路径名,不能用相对路径。
p.loadLibrary(..io.localpath("\func2.dll"))
// 恢复进程
p.resume()

3、运行效果:

五、其他:

1、因为aardio的hook没有把原函数地址记录到目标进程,所以自定义的函数无法继续访问真正的函数地址。可以通过与dll通讯告知dll原函数地址进行解决,当然,需要动手能力较强的去做。

2、直接在dll中进行hook,就避免了第1个问题。

六、相关资源下载:

https://wwd.lanzoup.com/i9VzYzqn9cf

卢光庆
关注
专栏目录
32位_C++_MFC_远程超级HOOK_vs2022_进程名获取进程句柄_字符串转字节集
03-18
远程HOOK目标程序,回调到自己窗口显示数据,可及时获得数据,非注入模式. 函数实现:进程名获取进程句柄,地址反写,字符串转字节集,类的封装.
远程注入Hooks注入
weixin_30355437的博客
12-20 140
Hooks注入 (okwary) 小叹的学习园地 Windows钩子的主要作用就是监视某个线程的消息流动。一般可分为: 局部钩子,只监视你自己进程中某个线程的消息流动。 远程钩子,又可以分为: a、特定线程的,监视别的进程中某个线程的消息; b、系统级的,监视整个系统中正在运行的所有线程的消息。 如果被挂钩(监视)的线程属于别的进程...
API钩取:进程的隐藏与全局钩取
最新发布
wang19922012的博客
07-23 1346
hook第三方进程
InlineHookAPI HOOK从原理开始,一次性掌握劫持技术
qq_50749602的博客
09-22 629
在汇编中可以转移指令执行流程的指令是JMP和CALL,我们要干的就是在要将原来的执行流中插入JMP或CALL,在开始写代码之前,你需要想清楚使用JMP还是CALL,如何使用在于你的目的,使用JMP可以保证堆栈偏移不会发生变化,但需要计算两次JMP 的偏移量,而使用CALL则只需要计算一次,就是CALL的偏移量,而回跳地址直接使用ret,但缺点是CALL会更改堆栈的偏移,因为要压入回跳地址,我通常喜欢使用CALL来做劫持,因为堆栈的偏移相对于JMP那种繁琐的计算是不值一提(😄)的。
【软件逆向】如何在windows远程注入dll并进行虚表hook
zhangjiuding的博客
10-23 1809
如何在windows远程注入dll并进行虚表hook
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
易语言-hook 拦截操作源码 纯源 APIHOOK
06-29
在给定的标题"易语言-hook 拦截操作源码 纯源 APIHOOK"中,我们可以看到关键词"hook"和"APIHOOK",这涉及到Windows编程中的一个关键概念——钩子(Hook)。钩子是一种机制,允许程序监视和控制其他应用程序的行为,...
易语言-APIHOOK拦截指定进程创建新进程
06-25
在IT行业中,API Hook是一种强大的技术,用于监控、拦截或修改特定系统调用的行为。在易语言编程环境中,我们可以利用APIHOOK技术来实现对指定进程创建新进程的拦截。易语言,作为一款中国本土开发的编程语言,以其...
apihook拦截所有弹出的ToolTip气泡提示信息.zip
01-28
在IT领域,API Hook是一种广泛使用的调试和监控技术,它允许开发者拦截并修改特定API(应用程序接口)调用的行为。这个“apihook拦截所有弹出的ToolTip气泡提示信息.zip”压缩包似乎包含了一个用于演示如何实现这一...
API HOOK易语言IP端口拦截转向源码
04-20
API Hook是一种技术,它允许程序员拦截系统调用或者应用程序接口(API)的调用,以便在调用实际功能之前或之后执行自定义代码。在易语言中,API Hook的实现通常涉及创建一个动态链接库(DLL),并在目标进程中注入这...
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
易语言源码HOOK拦截窗口.rar
08-03
易语言资源,大家可以参考学习
dll调试成功和成功拦截窗口创建
myworldbig的专栏
04-30 1483
我这人比较懒,不喜欢在网上写自己的学习心得,不过这次还是准备写下。自己的想法是写这个文章算是对自己现在学的东西的一个copy,以后忘了就直接可以借来用。呵呵。真的要将近一个月了,就在今天,我终于拦截到了下载框的创建了。O(∩_∩)O哈哈~用的SetWindowsHookex函数,第一个参数给的是WH_CBT。在回调函数中,其中一个case就是判断HCBT_CREATEWND,从而获得创建窗口的信息。只要是窗口都能获得,那就不仅仅是下载窗口,而且下载窗口里面的各个元素,比如直接打开啊,下载啊, 取消啊这些按钮
hook禁止外部程序创建新窗口[易语言源码]
Missing
07-10 3439
点击阅读原文利用进程注入+hook + CreateWindowExA函数,来实现禁止外部程序新建窗口。自绘没试过不知道可以不,本来想用在一款工具里的,但应该是程序内加了变量判断。链接: http://pan.baidu.com/s/1o8aTV6M 密码: f4aq链接: http://pan.baidu.com/s/1bNLmVk 密码: ncyy...
简述API HOOK技术及原理
bing1564的博客
05-01 2425
我们观察内核代码的时候,很多时候一些函数调用都初始化的时候设置成回调函数的,例如上一个例子读取文件目录,那么proc有自己独有的读取目录处理函数,相对于的ext4、ceph、hpfs等等文件系统都有自己的处理函数,那么getdents的时候如何能调用到正确的处理函数呢?而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数又使用各自对应的结构体来初始化后续的调用函数。
aardio hook某VMP3.X壳 关闭反调试开关
steak123的博客
09-22 721
aardio 去修改vmp的漏洞让他关闭反调试模块 hook=function(){ var prcs=process("C:\Users\Administrator\Desktop\ABC.exe",,{suspended=true}) oep=0xa0791b oepnum=prcs.readNumber(oep,"INT") //读OEP头 prcs.writeNumber(oep,0xfeeb,"WORD")//硬.
9.3 挂钩API技术(HOOK API
qq_36314864的博客
09-29 2897
9.3 挂钩API技术(HOOK API
易语言HOOK系统顶级窗口的创建销毁切换
weixin_kkuu84的博客
09-24 797
ShellHook是什么?当一个窗口创立、激活、封闭时,explorer总是能够捕捉相应的音讯,并更新义务栏上,就是经过ShellHook完成的。本课完成了对零碎一切顶级窗口的拦挡,和指定窗口的拦挡。 RegisterWindowMessage RegisterWindowMessage函数定义一个新的窗口音讯,保障该音讯在零碎范畴内是惟一的。通常调用SendMessage或许PostMessag...
远程注入【Hook分类】
weixin_30873847的博客
12-26 180
(okwary) 小叹的学习园地 钩子(Hook) Hook解释: HookWindows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会受到系统的通知,这时程序就能在第一时间对该事件做出响应。 另一解释: 钩子(Hook),是Windows消息处理机制的一个平台,...
api hook 拦截 复制
08-04
API Hook是一种用于拦截应用程序的API调用的技术。拦截复制API的目的是为了在复制操作发生之前或之后对其进行自定义处理。 通过API Hook,我们可以修改或扩展应用程序的行为。当拦截复制API时,可以在复制操作执行之前捕获该操作,并对复制的数据进行修改或记录。这对于数据保护、安全监控或调试等方面非常有用。 拦截复制API也可以用于实现剪贴板管理功能。通过捕获复制操作,我们可以将复制的数据保存到自定义的位置或格式,并在需要时将其重新放入剪贴板。这样可以方便地管理剪贴板中的数据,提高工作效率。 除了复制操作,API Hook还可以拦截其他操作,如文件读写、网络通信等。通过拦截API调用,我们可以对这些操作进行监控、过滤或修改。 API Hook的实现通常需要编程技巧和相关知识。常用的方法有使用类似Detours的第三方库,或者直接修改目标程序的二进制代码。在进行API Hook时,需要注意遵循相关的法律规定,并确保在合法范围内使用。 总之,API Hook是一种拦截应用程序API调用的技术。拦截复制API可以对复制操作进行自定义处理或记录,实现剪贴板管理等功能。它对于数据保护、安全监控、调试和扩展应用程序行为等方面都具有重要的作用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卢光庆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值