HOOK API——Windows核心编程 第22章 插入DLL和挂接API学习笔记

最新推荐文章于 2020-05-09 18:16:26 发布
最新推荐文章于 2020-05-09 18:16:26 发布
阅读量9.2k 收藏 5
点赞数
文章标签: dll api hook windows 编程 descriptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/super_chris/article/details/4327679
版权

介绍:HOOK API是指截获特定进程或系统对某个API函数的调用,使得API的执行流程转向指定的代码。Windows下的应用程序都建立在API函数至上,所以截获API是一项相当有用的技术,它使得用户有机会干预其它应用程序的程序流程。

最常用的一种挂钩API的方法是改变目标进程中调用API函数的代码,使得它们对API的调用变为对用户自定义函数的调用。

HOOK API和HOOK技术完全不同。尽管它们都是钩子。HOOK钩的是消息,它在系统将消息传递给应用程序之前截获它,然后进行操作、或修改消息、或停止消息的传递;而HOOK API截获的是应用程序对系统API的调用,它在应用程序对系统API的调用之前截获此调用动作,让其转而调用我们所定义的函数(内容可能是进行一些操作后再调用原系统API)。

关于HOOK技术,微软为我们提供了现成的API,有固定的使用步骤。

而对于HOOK API技术,微软并没有向我们提供类似的API,没有那么简洁的步骤可供我们参考,也许是因为微软并不希望我们用这样的手段编程,所以相对要麻烦一些。

以下为《windows核心编程》学习笔记:

windows编程中,有些时候必须要打破进程的界限。访问另一个进程的地址空间。这些情况包括:

1.当你想要为另一个进程创建的窗口建立子类时,即为此窗口指定新的窗口过程函数。

2.当你需要调试帮助时。

3.当你想要挂接其它进程时(HOOK API?)。

一旦你的DLL插入到另一个进程的地址空间,就可以对另一个进程为所欲为。

一、为另一个进程创建的窗口建立一个子类。

建立子类就能改变窗口的行为特性。若要建立子类,只需要调用SetWindowLongPtr函数,改变窗口的内存块中的窗口过程地址,指向一个新的(你自己的)WndProc。

当调用下面所示的SetWindowLongPtr函数,建立一个窗口的子类时,你告诉系统,发送到或者显示在hwnd设定的窗口中的所有消息都应该送往MySubclassProc,而不是送往窗口正常的窗口过程:

SetWindowLongPtr(hwnd,GWLP_WNDPROC,MySubclassProc);

换句话说,当系统需要将消息发送到指定窗口的WndProc时,要查看它的地址,然后直接调用WndProc。在这里,系统发现MySubclassProc函数的地址与窗口相关联,因此就直接调用MySubclassProc函数。

窗口函数被调用的过程是这样的:如,进程A正在运行,并且已经创建了一个窗口。文件User32.dll被映射到进程A的地址空间中。对User32.dll文件的映射是为了接收和发送在进程A中运行的任何线程创建的任何窗口中发送和显示的消息(USER32.DLL里含有DispatchMessage函数,函数为:

LONG DispatchMessage (CONST MSG *msg){

LONG lResult;

WNDPROC lpfnWndProc =

(WNDPROC)GetWindowLongPtr(msg.hwnd, GWLP_WNDPROC);

lResult = lpfnWndProc(msg.hwnd, msg.message, msg.wParam, msg.lParam);

return (lResult);

}

)。

当User32.dll的映像发现一个消息时,它首先要确定窗口的WndProc的地址,然后调用该地址,传递窗口的句柄、消息和wParam和lParam值。当WndProc处理该消息后,User32.dll便循环运行,并等待另一个窗口消息被处理。

 

若想在进程B中为进程A的线程所创建的窗口建立子类(即指定窗口过程函数),在进程B中就需要得到目标窗口的句柄,方法很多,如FindWindow。

 

但是,由于进程的边界问题,Microsoft决定不让SetWindowLongPtr改变另一个进程创建的窗口过程。不是SetWindowLongPtr不能为窗口指定窗口过程函数,而是由于进程的边界问题,使得这样不具有可操作性。如果能将子类过程(MySubclassProc)的代码放入进程A的地址空间,就可以方便地调用SetWindowLongPtr函数,将进程A的地址传递给MySubclassProc函数。将这个方法成为将DLL(含有MySubclassProc的代码)“插入”进程的地址空间。有若干种方法可以用来进行这项操作。

1.使用注册表来插入DLL

2.使用Windows挂钩来插入DLL

3.使用远程线程来插入DLL

分别来学习一下:

1.使用注册表来插入DLL

这种方式是在注册表中的 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs关键字里保存要加载的dll文件名(或包含路径)

最低0.47元/天 解锁文章
super_chris
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
没有HOOK就没有病毒?详谈HOOK API技术(转)
cuankuangzhong6373的博客
03-25 672
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻...
简述API HOOK技术及原理
bing1564的博客
05-01 2104
我们观察内核代码的时候,很多时候一些函数调用都初始化的时候设置成回调函数的,例如上一个例子读取文件目录,那么proc有自己独有的读取目录处理函数,相对于的ext4、ceph、hpfs等等文件系统都有自己的处理函数,那么getdents的时候如何能调用到正确的处理函数呢?而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数又使用各自对应的结构体来初始化后续的调用函数。
HookAPI函数
P-Blog
06-10 1642
unit dllMain;{*********************************************************程序:   HookAPI函数作者:   sunsjwQQ  :   25656016Blog:   http://www.kao8.cn/blog.asp?name=sunsjw***************************************
Windows核心编程_HOOK(续)_APIHOOK
17岁boy的博客
05-27 3924
啰嗦啰嗦: 开始之前还是要啰嗦几句,看到自己博客粉丝增加,访问量也越来越多,感到非常开心,而且好评也是不少,指错也非常感谢,从错误中发现了很多问题,非常感谢,也高兴自己的文能帮助到其它人。 就比如之前的比较火动态视频桌面代码,网络上几乎找不到可行的动态视频桌面代码,最后博主花费了一晚上时间去研究,然后把研究成果从头到位到理论,到Windows桌面结构,以及体系分析,都说的非常透彻,也让不少...
HOOK来修改API函数的功能(2)-创建文件
weixin_34124651的博客
06-20 269
上次写了如何使用HOOK的方法修改API函数的功能,来对注册表进行保护。对于对注册表操作的函数还有ZwDeleteKey、ZwDeleteValueKey、ZwOpenKey等等,对这些函数的HOOK和我上面写的方法是一样的。今天我来写一下如何对文件操作的API函数来HOOK。在我们编程中经常使用CreateFile函数来创建文件。其实对于系统来说,当我们使用右键点击并选择“新建”中的创建文件的时...
windows核心编程》第22最后一个例子(拦截API的问题)
最新发布
11-03
22的主题可能涉及系统调用、动态链接库(DLL)、钩子机制以及API拦截技术。最后一个例子通常会是一个综合应用,以帮助读者巩固前面节所学的知识。在这个例子中,我们很可能是要学习如何拦截API调用来实现特定...
ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll
09-20
在标题"ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll"中,我们可以看到"ApiHook"、"DLL HOOK"以及"api_hook.dll"等关键词,这些都是与API Hook密切相关的元素。描述中提到的"API Hook示例代码"是...
HOOKAPI(四)——进程防终止
02-26
起初学习HOOKAPI的起因是因为要实现对剪切板的监控,后来面对进程保护这样一个需求时,综合各方资料并自己动手实现HOOKOpenProcess()和TerminateProcess()来从调用层实现进程的防终止。下面将进一步介绍实现的过程,...
HOOK_api.rar_Hook_api_detourapi_dll hook api_dll注入_注入 api hook
09-23
"Hook_api_detourapi_dll"暗示了其中可能使用了Detour库,这是一个由Microsoft Research开发的用于API钩子的工具,它允许开发者拦截和修改函数调用。 描述中提到“dll注入后拦截API”,这是指动态链接库(DLL)注入...
HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook
09-23
"HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook"这个压缩包似乎包含了一系列关于Hook API的实践教程和示例,特别关注于RMXP(RPG Maker XP)平台,以及注册表相关的Hook应用。 RMXP是一款流行...
HOOK api 实现封包截取.zip
08-06
HOOK api 实现封包截取
HOOKAPI大全(强烈推荐)
08-28
HOOKAPI C++ 希望对你有用. 解压密码为:www.londu.net
10个案例玩转Windows C/C++程序实战
11-06
Windows C/C++程序实战》主讲:丁宋涛​本课程立足于windows平台将windows API进行了组合应用,进行设计了10个案例对windows应用编程进行了典型案例的剖析:系统篇中将应用程序提权、windows api再封装进行了针对性的演示;网络篇结合实际需求刻画了socket+协议=网络编程的思想;最后的三个拓展性案例为后续的C++发展方向进行探讨,对于初次接触windows编程的学员提供有一定实用价值的实现案例。
Windows Dll注入与API HOOK
小黑话不多
04-11 2926
DLL注入: 1.      使用注册表注入dll HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs AppInit_Dlls中设置待注入的dll绝对路径 LoadAppInit_Dlls值设为1 2.      使用Windows挂钩注入dll 需要使用SetWind
React Hook 实现水印效果
M_allstar的博客
05-09 518
import React, {useEffect, useState} from 'react' import {observer} from 'mobx-react-lite' const WaterMark = ({text = '', option}) => { const { top = '0px', left = '0px', width, height, } = option const [background, setBackground...
方式四:修改模块导入段来拦截API
零点起步
02-28 1251
一个模块的导入段包含一组DLL,导入段还包含一个符号表,其中列出了该模块从各DLL中导入的符号, 当该模块调用一个导入函数的时候,线程实际上会先从模块的导入表中得到相应的导入函数的地址,然后再跳转到那个地址。 模块的导入段中所有的字符串都是以ANSI格式保存的,有的编译器会生成多个导入段。 //hook dll /***************************************
C# 通过windows api窗口句柄和hook,让窗口可接收文件拖放 并给我一个例子
06-13
可以使用C#中的`DragDrop`事件和Windows API中的`RegisterDragDrop`函数来实现窗口接收文件拖放功能。 以下是一个示例代码,可以让窗口接收文件拖放,并在控制台输出文件路径: ```csharp using System; using ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值