【学习笔记2】hook,PE文件

最新推荐文章于 2023-06-13 10:07:56 发布
最新推荐文章于 2023-06-13 10:07:56 发布
阅读量558 收藏
点赞数
分类专栏: 学习笔记 文章标签: hook PE文件 OCX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010203393/article/details/8837361
版权

三、hook 钩子

参考 http://baike.baidu.com/view/626139.htm

(1)本质:一个处理消息的程序段。通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。

(2)消息触发:当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程。

每一个Hook(钩子)都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。这个列表的指针指向该钩子的各个处理子程。

(3)钩子机制:允许应用程序截获处理window消息或特定事件。

(4)钩子安装,入栈:最近安装的钩子放在链的开始, 而最早安装的钩子放在最后,也就是后加入的先获得控制权。

(5)Hook子程:可以只监视消息,或加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递,避免这些消息传递到下一个Hook子程或者目的窗口。

(6)依据使用范围,分为

线程钩子:监视指定线程的事件消息。

系统钩子:监视系统中的所有线程的事件消息。因为系统钩子会影响系统中所有的应用程序,所以钩子函数必须放在独立的动态链接库(DLL)

四、PE文件 、OCX

1.PE文件

(1)Portable Executable 一种二进制文件,可执行

(2)常见的PE文件:exe,dll,ocx,sys,com 

(3)参考:对PE文件的详解,包括文件结构、如何存储

http://www.360doc.com/content/10/0114/13/59579_13522537.shtml

http://www.vckbase.com/index.php/wv/1057

2.OCX   http://baike.baidu.com/view/393671.htm?func=retitle  

(1)对象链接和嵌入用户控件  Object Linking and Embedding (OLE) Control eXtension

(2)ocx是ocx控件的扩展名

3.控件、组件、 插件的区别:http://blog.csdn.net/xiaomianao2010/article/details/5959004

figure77
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用API hook拦截技术监视文件操作.pdf
02-23
介绍了API拦截(API Hook)技术及其应用领域,并在此基础上,详细说明了利 用陷阱式API HOOK技术实现文件操作监视的原理和实现方法
PE文件格式与API HOOK
zacklin的专栏
04-27 560
对于windows低层编程来说,进行API拦截始终是一件让人激动的事,用自己的代码来改变其它程序的行为,还有比这个更有趣吗?而且,在实现API拦截的过程中我们还有机会去熟悉许多在RAD编程环境中很少接触的东西,如DLL远程注入、内存管理,PE文件格式等知识。许多商业软件,如金山词霸等词典软件,各种即时汉化软件、甚至一些网络游戏的外挂中都用到了这种技术,各种调试工具中多多少少也要用到这种技术。 实
API HOOKPE文件的关系
weixin_30505225的博客
01-11 88
api hook技术的难点,并不在于hook技术,而在于对PE结构的学习和理解。如何修改api函数的入口地址?这就需要学习pe可执行文件(.exe,.dll等)如何被系统映射到进程空间中,这需要学习pe格式的基本知识。windows已经提供了很多数据结构struct帮助我们访问pe格式,记住它们,我们就不要自己计算格式的具体字节位置这些繁琐的细节。但是从api hook的实现来看,...
浅淡 “对 HOOK PE学习体会”
xum2008的专栏
03-05 645
浅淡 “对 HOOK PE学习体会” 我们都知道,对于PE 文件的结构中,有一个叫做导出表的东西,这个表中存放着这个程序运行所需要的函数。这些函数都存放在一个结构中。如果,我们能够替换这个结构中的某些地址,那么,我们就能够在程序执行之前,拿到控制权。下边看一下这个结构的示意图:从这个图中,我们可以清楚的看到,导出表函数名和函数地址组成,它们可以通过导出表获得:pModu
使用PE文件格式 HOOK 其他进程API
oldmtn的专栏
06-30 1322
今天研究了一下HOOK 其他进程API的方法 有2个前提 1. 使用远程线程注入, 具体可以参考《Windows核心编程》中22-InjLib里面的代码 2. 更改被注入线程所要调用的API地址 2.1 方法一:实用一个网上一个大牛写的类CHookInfo HookInfo.h typedef struct _HOOKSTRUCT { FARPROC pfFunAddr; /
深度学习word2vec学习笔记pdf版.pdf
04-05
深度学习word2vec学习笔记pdf版,方便各位在各个平台上查看,是word文档直接转的
易语言 拦截文件读写 APIhook
05-06
易语言 拦截文件读写 APIhook 拦截打开文件 拦截文件读入 拦截取文件长度 拦截文件读写位置
C++的PE文件操作类
08-01
本篇将详细探讨C++如何操作PE文件,包括读取PE文件信息、解析导入表和导出表,并实现iat(Import Address Table)Hook。 首先,我们需要理解PE文件的基本结构。PE文件由头文件和节区组成。头文件包含了PE文件的类型...
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
APIHook技术是一种高级的系统编程技术,主要用于监视和控制应用...通过这个压缩包提供的代码,开发者可以学习到APIHook的基本实现方法,并且能够实际应用到文件系统监控的场景中,为系统安全和程序调试提供有效工具。
VB API Hook禁止删除文件
07-09
2. **创建Hook管理器**:我们需要一个模块或类来管理钩子。这通常包括创建一个自定义的钩子过程(HookProc),用于处理被拦截的函数调用,以及安装和卸载钩子的函数。 3. **定义HookProc**:这是一个回调函数,当...
PE文件格式分析程序
03-14
用VC++6.0编写的PE文件格式分析程序,对学习PE文件格式很有用。
PE基础7-HOOK练习
weixin_30505485的博客
07-01 122
HOOK练习 头文件内容 #include <windows.h> ​ // Inline Hook: 原理是修改程序执行流程上的代码,使代码可以从目标地址跳转到 // 指定的位置,从而获取函数的调用情况。微软专门给所有的库函数 // 提供了 6 字节的垃圾指令进行 Hook。 ​ // Inline Hook 要...
Hook实现文件监控
sinat_36391009的博客
11-29 6610
介绍 该Windows文件监控系统旨在为Windows环境中的文件提供安全性。我需要设计一个应用程序来监视Windows上的文件打开、关闭和保存操作,并限制用户在安装此实用程序之前访问文件类型的子集。这是通过连接Windows文件相关api,然后根据需要在Windows中对文件进行打开、保存和关闭操作的预处理来实现的。预处理可能是对文件进行加密,破坏文件的标题部分等。如果在系统上安装了这个实用程序...
PE系列学习笔记八 实战之HOOK程序添加弹窗
xiaotuge_always的博客
04-24 693
前面学习PE的结构后,尝试结合先前所学,修改PE文件来实现给程序添加弹窗的功能 PS:这篇笔记并没有怎么涉及PE的知识点,重点放在了HOOK、反汇编和硬编码上,对PE不是很了解也可以看看,涉及PE知识点的内容放在了后面的笔记PE学习笔记九 实战之HOOK程序添加弹窗续,可以放心食用( ̄︶ ̄)↗ PE实战之给程序添加弹窗 修改流程 要给程序添加弹窗,首先就是要了解其修改的流程 首先要修改的便是程序原本的入口地址,将其修改为弹窗代码所在的地址 弹窗代码所在的地址,要在PE文件中找到一片区域,该区域需要 满足
PE基础6_远程线程注入-HOOK(消息-InLine-IAT)
weixin_30321449的博客
06-29 267
注入 概述 DLL注入的初始动力源自于程序员对其他第三方应用程序进行功能扩展的愿望 注入方式有 注册表注入 ComRes注入 APC注入 消息钩子注入 远程线程注入 依赖可信进程注入 劫持进程创建注入 输入法注入 远程线程注入 //要加载的dll路径 WCHAR szD...
PE文件入手绕过IAT HOOK(ZT)
wxl1986622的专栏
02-29 1946
PE文件入手绕过IAT HOOK 2007-04-28 16:08 IAT HOOK简介 API HOOK估计没必要多介绍了,简单的来讲就是通过某种方式来改变API函数的工作流程.一般来讲有两种方法:IAT HOOK和INLINE HOOK.前一种应用较为广泛,一方面因为简单,还一方面因为稳定.他的原理就是改写进程空间中要HOOK的API所在模块的函数引入表,使之指向替换原 API函
浅谈 “我对 HOOKPE 的理解”
xum2008的专栏
02-26 702
对于 HOOK 技术,我想大家都比较了解了,今天,搞了一个晚上的 HOOK PE, 希望能够达到勾住 到处函数的目的,技术不是什么新技术,仅仅为了了解它的工作过程而已。。。网上代码有现成的,不过,写得有些不对的地方。。。 1:在获取模块基址的时候,函数使用错了。。。 应该是这样,不然,你的程序就悲剧了,调试了老半天才发现,  pName = strrchr( pSysModule-
【Android】Frida Hook 文件读写操作
HWHXY的博客
06-13 2540
在挖掘客户端漏洞的时候,通常会关注应用对什么文件进行了读写操作,当我们能控制被读的文件或观测到敏感写入的文件,通常可以造成一定危害。本文详细介绍了如何通过frida监控文件读写操作。
hook 监控文件 拷贝 c++
最新发布
12-09
hook 监控文件是一种用于实时监控文件变化的技术,它可以在文件被创建、修改、移动或删除时立即触发相应的操作。拷贝C是指将特定文件文件夹从一个位置复制到另一个位置,通常用于备份或迁移数据。 在实际操作中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值