补——HOOK API函数

最新推荐文章于 2024-05-15 10:05:34 发布
最新推荐文章于 2024-05-15 10:05:34 发布
阅读量621 收藏 2
点赞数
分类专栏: C++编程 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/105350928
版权

HOOKAPI的意思就是,给系统函数API挂钩,让系统调用API的时候,先执行我们自己设定的程序,之后再决定是不是执行具体的API函数的功能。
HOOK API的原理:
如下图:
在这里插入图片描述
至于是否执行完整API函数的完整代码则无所谓
大概思路:
1、 要hook MessageBox这个API,首先要获取到这个API的地址,这个API是User32.dll的导出函数,所以要先获得这个模块的地址
2、 获取到user32.dll模块的句柄之后,需要加载这个dll
3、 加载这个dll之后,需要遍历导出表找到这个MessageBox这个函数
4、 找到这个函数之后,开始修改我们的指令
下边是整个HOOK过程的代码:

#include <iostream>
#include <windows.h>
using namespace std;
int MyFunc()
{
	int a = 1;
	int b = 2;
	int c = a + b;
	cout << "MessageBoxA等于" << c << endl;
	return c;
}
int main()
{
	HMODULE Hmoudle = LoadLibraryA("user32.dll");
	FARPROC oldAPI = GetProcAddress(Hmoudle,"MessageBoxA");
	int(*NewAPI)();
	NewAPI = MyFunc;
	BYTE OldCode[5];
	BYTE NewCode[5];
	_asm
	{
		lea edi,OldCode
		mov esi,oldAPI
		cld
		movsd
		movsb
	}
	NewCode[0] = 0xe9;
	_asm
	{
		lea eax,NewAPI//获取要存储JMP指令的数组的地址
		mov edx,oldAPI//将存储源MessageBox前5个字节的数组的地址给edx
		sub [eax],edx//eax里边存储着我们自家函数的地址
		sub [eax],5//减去我们要修改的5个字节
		mov ebx,[eax]//将要修改的5个字节的地址给ebx
		mov dword ptr [NewCode+1],ebx//将要修改的5个字节写过去
	}
	//修改源API函数的前5个字节
	DWORD dwpid = GetCurrentProcessId();
	DWORD dwOldProtect;
	HANDLE Handle = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dwpid);
	VirtualProtectEx(Handle,oldAPI,5,0x40,&dwOldProtect);
	WriteProcessMemory(Handle, oldAPI, NewCode,5,NULL);
	VirtualProtectEx(Handle, oldAPI, 5,NULL, &dwOldProtect);
	MessageBoxA(NULL,"在吗","干嘛呢",MB_OK);
}

这里实现的是在调用MessageBox的时候,让函数去执行一个简单的加法,然后输出 MessageBoxA等于3

接下来对整个HOOK过程进行详细的讲解,讲解过程采用OD动态调试的方式来进行。

我们在使用OD进行动态调试的时候,附加项目生成的release版的,附加Debug版的会报错,我是在虚拟机里进行调试的,没有环境。

HOOK的主要过程已经解释过,下边对其中的主要代码进行解释。当然整个过程的主要代码块就是命令替换的过程。

调试过程:
主要解释整个命令的替换过程:

	HMODULE Hmoudle = LoadLibraryA("user32.dll");   //加载user32.dll
	FARPROC oldAPI = GetProcAddress(Hmoudle,"MessageBoxA");//获取函数地址
	int(*NewAPI)();//声明一个函数指针
	NewAPI = MyFunc;//函数指针指向我们定义的自己的函数,这个函数就是我们HOOK之后要执行的内容

BYTE OldCode[5];//存储原API的命令
BYTE NewCode[5];//存储要替换的命令

_asm
	{
		lea edi,OldCode //获取存储源API函数命令的数组的地址
		mov esi,oldAPI //将MessageBox函数的地址存放在esi地址中
		cld
		movsd//将MessageBox函数的前4个字节存放在OldCode
		movsb//将MessageBox函数的第5个字节复制过去
	}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

NewCode[0] = 0xe9;

将要修改的数组的第一个字节的数据修改为0xe9,0xe9其实就是JMP指令。所以该数组里边的剩下4个字节就要设置成为适当的地址来跳转到我们自己的函数。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
之后要完成的任务就是,将我们获取到的JMP指令,修改到原来的MessageBox地址的前5个字节。在这之前还需要注意,修改MessageBox函数地址处的属性,将之设置为可写,之后将数据修改过去,再把属性修改回来就好。

//修改源API函数的前5个字节
	DWORD dwpid = GetCurrentProcessId();
	DWORD dwOldProtect;
	HANDLE Handle = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dwpid);
	VirtualProtectEx(Handle,oldAPI,5,0x40,&dwOldProtect);
	WriteProcessMemory(Handle, oldAPI, NewCode,5,NULL);
	VirtualProtectEx(Handle, oldAPI, 5,NULL, &dwOldProtect);

最后再调用MessageBoxA让程序去执行我们的函数,也可以进行成果验证。

运行结果:
在这里插入图片描述

Psy_Hacker
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API Hook完全手册
张羿的CSDN专栏
02-10 1万+
注:本文是根据我两年前写的一个系统行为监测程序写成(参考了一些书籍和文章)。最近在论坛上看到有不少人在问关于API Hook的问题,便写成此文,希望能对朋友们在写API Hook代码的时候能够有所帮助。1 基本原理API Hook是什么我就不多说了,直接进入正题。API Hook技术主要有下面的技术难点:1.     如何将自己的的代码Inject到其他进程2.     如何Hoo
HOOKAPI(二)——HOOK自己程序的MessageBox
02-26
以下将给出一个简单的例子,作为HOOKAPI的入门。这里是HOOK自己程序的MessageBox,即将自己程序对MessageBoxAPI的调用重定向到自己实现的API中,在自己定义的API中实现内容的替换。需要注意的是,本例子的HOOK仅仅对...
HookAPI函数
P-Blog
06-10 1656
unit dllMain;{*********************************************************程序:   HookAPI函数作者:   sunsjwQQ  :   25656016Blog:   http://www.kao8.cn/blog.asp?name=sunsjw***************************************
高效Hook工具:Yuki Hook API
最新发布
gitblog_00051的博客
05-15 377
高效Hook工具:Yuki Hook API YukiHookAPI⛱️ An efficient Hook API and Xposed Module solution built in Kotlin.项目地址:https://gitcode.com/gh_mirrors/yu/YukiHookAPI 在Android开发的领域中,Hook技术扮演着至关重要的角色,它允许开发者在不修改原有代码...
HOOK API 函数跳转详解
wwn15wwn
01-16 195
HOOK API 函数跳转详解 2011年03月28日   什么是HOOK API:   Windows下暴露的对开发人员的接口叫做应用程序编程接口,就是我们常说的API。我们在写应用层应用程序软件的时候都是通过调用各种API来实现的。有些时候,我们需要监控其他程序调用的API,也就是,当其他应用程序调用我们感兴趣的API的时候,我们在他调用前有一个机会做自己的处理,这就是HOOK A...
Hook API 原理 解析
weixin_33836223的博客
05-23 425
1 什么是Hook API 简单的说,一个应用程序要调用一个API函数,例如CreateFileW,那么应用程序必须要知道函数的地址,才能调用它,我对Hook API的理解是,把这个函数地址替换为另一个函数MyCreateFileW的地址,那么每当程序调用CreateFileW时,就会调用MyCreateFileW 2 Hook API有什么用 在《Rootkits——W...
API HOOK技术
weixin_34234721的博客
06-17 248
API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。 API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。 外文名 API HOOK      用于 改变API执行结果的技术 应用 如Windows兼容模式等 ...
HOOKAPI(三)——HOOK所有程序的MessageBox
02-26
本实例要实现HOOKMessageBox,包括MessageBoxA和MessageBoxW,其实现细节与HOOKAPI(二)中介绍的基本类似,唯一不同的是,本实例要实现对所有程序的HOOKMessageBox,即无论系统中哪一个程序调用MessageBox都会被...
HOOK API.rar
04-05
三、Hook API函数 在Windows API中,主要通过SetWindowsHookEx函数来安装钩子,这个函数接收四个参数:钩子类型、钩子函数指针、所属模块句柄以及线程ID。卸载钩子则使用UnhookWindowsHookEx函数。此外,还有...
hook任意api函数
04-15
hook任意函数,可用于防外挂等安全领域,是封号的代码,开源
9.3 挂钩API技术(HOOK API
qq_36314864的博客
09-29 2791
9.3 挂钩API技术(HOOK API
HookAPI
12-13
HookAPI 的源代码...
Hook Windows API
03-14
修改API函数前5个字节为一条jmp指令,跳转到自己写的Hook_api,实现hook系统api函数
详谈HOOK API的技术
03-13 1497
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或ExtTextOut()这两个函数实现的,在操作系统用这两个函数输出文本之前,就把相应的英文替换成中文而达到即时翻译;IFS和N
Hook API
性感码农在线写笔记
07-29 373
HookAPI、useState、useEffect等
对于API函数HOOK过程
sxr__nc的博客
10-25 558
对ntdll.dll模块的ZwWriteVirtualMemory函数进行HOOKHOOK的 过程如下: 首先获得该函数的地址,之后将该函数的地址设置为可读可写的属性 接下来申请一段内存空间,将要HOOK函数的内容保存到这段空间里边(毕竟HOOK之后还是要实现原来的功能的,留作以后用): 修改第一条机器码: 第二次修改: 修改空间属性 保存被修改了的指令(hook完...
HOOK 系统 API
程序员人生
09-27 1136
一调用系统函数 MessageBoxA VCMessageBoxA(NULL,NULL,NULL,MB_OK)CALL dword ptr [0040d244]VC作了优化ASMinvoke  MessageBoxA,NULL,NULL,NULL,MB_OKCall 401abc401abc :jmp dword ptr [0040d244]未优化时,函数名代表了jmp dword ptr [00...
HOOK API
千里之外
08-14 1130
一个简单的console工程,vc6,vc7在win2k pro,server上调试通过. #include #include #include #pragma comment(lib,"dbghelp.lib") #pragma comment(lib,"user32.lib") typedef int (__stdcall *old_messagebo
HOOKAPI入门:如何HOOK自己程序的MessageBox
在本文档的"HOOKAPI(二)——HOOK自己程序的MessageBox"部分,作者讲解了一个基础的HOOKAPI应用实例,即替换程序中对MessageBoxAPI的调用,以实现自定义的消息显示功能。 首先,文章强调了在Windows系统中,每个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值