aardio - 远程APIHOOK拦截弹窗

已于 2022-08-13 17:37:58 修改
阅读量2.5k 收藏 9
点赞数 1
分类专栏: aardio Windows 文章标签: windows hook aardio
于 2022-02-07 21:09:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdlgq/article/details/122814480
版权
aardio 同时被 2 个专栏收录
138 篇文章 276 订阅
订阅专栏
Windows
12 篇文章 2 订阅
订阅专栏

为了写这个教程,自己写了个CrackMe。(总不能拿别人的软件写教程,那就侵权了^-^)

运行效果如下:

软件运行后,弹出广告网址和信息框。我们的目的就是去掉这两个东西。

一、分析:

1、弹出网址,因为用的默认浏览器,而不是ie,所以一般都是用ShellExecute函数。

2、信息框,一般是MessageBox函数,如果是自动关闭的,就是MessageBoxTimeout函数。

二、hook方式:

目前我觉得比较简单实用的有三种:

1、写dll,定义替代函数,然后用aardio进行注入+hook。

2、写dll,在dll里写hook代码,然后用aardio注入即可。

3、写dll,在dll里写hook代码,然后在exe里添加输入表。当然,这就跟aardio无关了,咱们就暂不考虑这种最简单的方式了。

三、第一种方式:

以第一种方式为例,演示如何用aardio进行外部api的hook。示例中的文件名结尾都为1。

1、写dll,定义替代函数。替代函数要与目标函数参数数量一致。以易语言为例,代码如下:

编译为 func1.dll

2、用aardio代码进行hook,hook时自动进行注入。代码如下:

import process.apiHook
//启动并暂停进程
var p=process.apiHook("\CrackMe.exe",,{suspended=true})
//安装hook,钩住ShellExecuteA函数,用自定义的函数代替
p.install("shell32.dll", "ShellExecuteA","\func1.dll", "myShellExecuteA")
//安装hook,钩住MessageBoxA函数,用自定义的函数代替
p.install("user32.dll", "MessageBoxA","\func1.dll", "myMessageBoxA")
//恢复进程
p.resume()

3、运行效果,不会再弹出广告网址和信息框:

四、第二种方式:

以第二种方式为例,演示如何用aardio进行外部api的hook。示例中的文件名结尾都为2。

1、写dll,在dll里写hook代码,这样灵活性巨大。

 编译为 func2.dll

2、然后用aardio注入即可。

import process.apiHook
// 启动并暂停目标进程
var p=process.apiHook("\CrackMe.exe",,{suspended=true})
// 注入dll
// 特别注意这里的一个小坑:文件要提供全路径名,不能用相对路径。
p.loadLibrary(..io.localpath("\func2.dll"))
// 恢复进程
p.resume()

3、运行效果:

五、其他:

1、因为aardio的hook没有把原函数地址记录到目标进程,所以自定义的函数无法继续访问真正的函数地址。可以通过与dll通讯告知dll原函数地址进行解决,当然,需要动手能力较强的去做。

2、直接在dll中进行hook,就避免了第1个问题。

六、相关资源下载:

https://wwd.lanzoup.com/i9VzYzqn9cf

卢光庆
关注
专栏目录
远程注入的EasyHook
12-28
EasyHook使用中的一种特殊情况: 需要实现这样一个功能,截获打开文件(CreateFile)和获取文件大小(GetFileSize)函数,且在打开文件时需要获取文件的大小,即在HookCreateFile中同时使用CreateFile和GetFileSize。此时问题来了。CreateFile此时调用的是真实的API,而GetFileSize将会调用HookGetFileSize。如果存在更多的函数,必将导致问题。
远程hook远程hook
03-30
远程hook 远程hook 远程hook 远程hook 远程hook 远程hook
aardio hook某VMP3.X壳 关闭反调试开关
steak123的博客
09-22 706
aardio 去修改vmp的漏洞让他关闭反调试模块 hook=function(){ var prcs=process("C:\Users\Administrator\Desktop\ABC.exe",,{suspended=true}) oep=0xa0791b oepnum=prcs.readNumber(oep,"INT") //读OEP头 prcs.writeNumber(oep,0xfeeb,"WORD")//硬.
API钩取:进程的隐藏与全局钩取
最新发布
wang19922012的博客
07-23 1326
hook第三方进程
aardio实现微信自助登陆 群发
steak123的博客
09-22 1076
微信版本是2.X 约2017左右开发 开发工具是aardio getqq=function(){ //获取登陆中的qq import inet.http; import inet; import process; url1="https://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=715030901&daid=371&pt_no_auth=1&s_url=https%3.
易语言源码HOOK拦截窗口.rar
08-03
易语言资源,大家可以参考学习
远程HOOK任意地址-易语言
06-12
远程HOOK效率比较低,建议用来调试 调试没有问题后可改成DLL 另外新增参数:是否有偏移 (如果你HOOK的地方是个CALL 或者是个长跳转 在HOOK后会自动修正偏移) 源码刚写好的 就测试了远程HOOK MessageBoxA 有BUG或不足的地方可站内消息给我 源码写的比较乱 别介意哈。
易语言远程HOOK模块
07-18
易语言远程HOOK模块源码,远程HOOK模块
远程注入【Hook分类】
weixin_30873847的博客
12-26 173
(okwary) 小叹的学习园地 钩子(Hook) Hook解释: HookWindows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会受到系统的通知,这时程序就能在第一时间对该事件做出响应。 另一解释: 钩子(Hook),是Windows消息处理机制的一个平台,...
易语言-hook 拦截操作源码 纯源 APIHOOK
06-29
在给定的标题"易语言-hook 拦截操作源码 纯源 APIHOOK"中,我们可以看到关键词"hook"和"APIHOOK",这涉及到Windows编程中的一个关键概念——钩子(Hook)。钩子是一种机制,允许程序监视和控制其他应用程序的行为,...
易语言-APIHOOK拦截指定进程创建新进程
06-25
在IT行业中,API Hook是一种强大的技术,用于监控、拦截或修改特定系统调用的行为。在易语言编程环境中,我们可以利用APIHOOK技术来实现对指定进程创建新进程的拦截。易语言,作为一款中国本土开发的编程语言,以其...
易语言HOOK拦截窗口源码-易语言
06-13
易语言HOOK拦截窗口源码
易语言远程HOOK模块源码-易语言
06-13
易语言远程HOOK模块源码
易语言远程HOOK调试工具
06-03
注入代码 调用函数 。 用法如下。 ---------------------------------------------------------------------------------。 地址不需要填写   只需要参数跟call    注意只支持字节集。 ' 01003503  |.  8908          mov dword ptr ds:[eax],ecx      通关时间。 ' 01003505  |.  E8 77E6FFFF   call winmine.01001B81    第一个对话框。 ' 0100350A  |.  E8 9BE6FFFF   call    01001BAA         第二个对话框。HOOK 用法如下。 HOOK简单教材。 1 找出需要HOOK掉的代码块。 如下图所圈  子程序有俩个参数 。 接着一个call 弹出信息框。 给它HOOK掉。 2 填写开始地址与返回地址。 地址都是十六位的。 HOOK填写代码只支持字节集。 返
32位_C++_MFC_远程超级HOOK_vs2022_进程名获取进程句柄_字符串转字节集
03-18
远程HOOK目标程序,回调到自己窗口显示数据,可及时获得数据,非注入模式. 函数实现:进程名获取进程句柄,地址反写,字符串转字节集,类的封装.
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12-易语言
06-11
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12 源码为下方连接帖子后续更新内容: 浅谈64位进程远程hook技术: https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 不管您是转载还是使用请保留版权,源码在精益论坛免费发布本人未获利,请不要用于非法途径。 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.2更新 1:修复 x64_远调用函数()在 易语言 主线程调用时造成消息无法回调,导致易语言主线程窗口卡死的问题。      感谢楼下易友发现的BUG,已经第一时间更新 2021/4/12 模块源码 v1.8.1更新 1:修复 hook全部卸载时的流程写法的一个错误,由于句柄的提前关闭导致多个hook点卸载不干净的问题 2:改写了消息回调时线程传参的代码优化,优化了其他一些小问题 3:  鉴于很多朋友需要,改写了模块自带实列,对TCP,UDP的两组封包函数做了hook实列写法 4:列子中同样增加对x64_远调用函数()的应用写了几个列子,如使用套接字取得本地或远端IP端口API调用的的应用实列 5:本hook模块不支持非模块内存区hook,如申请的动态分配页等,不是不能支持,只是觉得没有任何意义,对这方面有需求的,自行改写模块源码使用 提醒:hook回调函数中尽量减少耗时代码,时间越长返回越慢,回调中谨慎操作控件,如必须要用到可参考源码中实列写法采用线程操作 历史更新 --------------------------------------------------------------- 2021/3/1   模块源码v1.6更新: 1:修复  x64_远程调用函数()命令,在没有提供 寄存器 参数时,没有返回值的BUG。 --------------------------------------------------------------- 2021/2/28 模块源码v1.5更新: 一:修复win7 64位系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 远程hook64指令_安装 的稳定性:        1,穿插代码中增加对标志位的保护,避免hook位置长度下一条指令为跳转时产生跳转错乱的问题,强化了hook任意位置的定位        2,因为穿插代码中会调用API函数,而64位汇编必须遵守栈指针16字节对齐,故对穿插代码进行栈指针16字节对齐,增强稳定性        3,hook指令安装支持长度由6-127字节 变动 为 6-119字节,原因么没必要说了,代码优化造成的,稍微少了一点无所谓了        4,对模块回调进行了适当优化处理,增强稳定性 三:应支持的朋友需要故增加 x64_远程调用函数()命令,易语言可以直接远call64进程,且无需写汇编代码或机器码指令,支持15个参数,支持返回值,支持16个通用寄存器全部取得返回值       该功能调用即16字节栈对齐,不要用户管堆栈,代码内部构成,远线程执行,你只需要知道call有几个参数,需要什么寄存器,对应提供即可。 四:有朋友说原模块x64英文看了烦,那好吧就给改成了中文标识,弄得我自己也不习惯 五:源码内列子改了改,可以自己看,需要注意的是模块注释的很详细,使用前最好看一看,尤其是hook回调接口的写法和安装的写法最好按照模块列子中的写法来,除非你能把64hook模块组看懂一遍,对于一些对本模块一知半解的朋友请不要乱改乱发,这个模块我会继续增强的,只是工作原因时间有限,只能一点一点来
apihook拦截所有弹出的ToolTip气泡提示信息.zip
01-28
在IT领域,API Hook是一种广泛使用的调试和监控技术,它允许开发者拦截并修改特定API(应用程序接口)调用的行为。这个“apihook拦截所有弹出的ToolTip气泡提示信息.zip”压缩包似乎包含了一个用于演示如何实现这一...
API HOOK拦截指定进程发送和接收的网络数据包.zip
01-23
这个名为"API HOOK拦截指定进程发送和接收的网络数据包.zip"的压缩包文件包含了用于实现这一功能的工具和代码,主要用于分析、调试或者可能的网络安全监控。 标题中提到的"API Hook"是关键概念,它指的是程序员通过...
易语言-易语言APIHOOK解除APIHook源码 防OD破解必备
06-25
API HOOK技术是一种用于改变API执行结果的技术,最初有些人对某些api函数的功能不太满意,就产生了如何修改这些api,使之更好的服务于程序的想法,这样api hook就自然而然的出现了。我们可以通过api hook,改变一个...
api hook 拦截 复制
08-04
API Hook是一种用于拦截应用程序的API调用的技术。拦截复制API的目的是为了在复制操作发生之前或之后对其进行自定义处理。 通过API Hook,我们可以修改或扩展应用程序的行为。当拦截复制API时,可以在复制操作执行之前捕获该操作,并对复制的数据进行修改或记录。这对于数据保护、安全监控或调试等方面非常有用。 拦截复制API也可以用于实现剪贴板管理功能。通过捕获复制操作,我们可以将复制的数据保存到自定义的位置或格式,并在需要时将其重新放入剪贴板。这样可以方便地管理剪贴板中的数据,提高工作效率。 除了复制操作,API Hook还可以拦截其他操作,如文件读写、网络通信等。通过拦截API调用,我们可以对这些操作进行监控、过滤或修改。 API Hook的实现通常需要编程技巧和相关知识。常用的方法有使用类似Detours的第三方库,或者直接修改目标程序的二进制代码。在进行API Hook时,需要注意遵循相关的法律规定,并确保在合法范围内使用。 总之,API Hook是一种拦截应用程序API调用的技术。拦截复制API可以对复制操作进行自定义处理或记录,实现剪贴板管理等功能。它对于数据保护、安全监控、调试和扩展应用程序行为等方面都具有重要的作用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卢光庆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值