WIN32汇编实现进程导入表HOOK API

最新推荐文章于 2023-06-22 19:44:10 发布
最新推荐文章于 2023-06-22 19:44:10 发布
阅读量800 收藏
点赞数
分类专栏: win32汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010416927/article/details/28592975
版权
这是一个关于使用汇编语言在WIN32环境下实现进程导入表API Hook的例子,主要针对NtDeviceIoControlFile函数。通过替换导入表中的函数地址,实现了对特定API的拦截和回调函数NewNtDeviceIoControlFile,允许在发送网络封包前进行检查和操作。
摘要由CSDN通过智能技术生成 
;****************************************************
;DevName:进程导入表API_HOOK
;开发者:GhostHand
;****************************************************
                        .386
                        .model flat,stdcall
                        option casemap:none
;****************************************************
include                        windows.inc
include                        user32.inc
includelib                user32.lib
include                        kernel32.inc
includelib                kernel32.lib
include                        rsrc.inc
include                        psapi.inc
includelib                psapi.lib
 
AFD_RECV        equ        12017h
AFD_SEND        equ        1201fh
 
AFD_WSABUF        struct
        len        dd        ?
        buf        dd        ?
AFD_WSABUF ends        
AFD_INFO        struct
        lpWsaBuf        dd        ?
        BufferCount        dd        ?
        AfdFlags        dd        ?
        TdiFlags        dd        ?
AFD_INFO ends
;****************************************************
.data?
hHook                dd        ?
hWinMain        dd        ?
hWinSetting        dd        ?
.data
hInstance        dd        ?
hCurProc        dd        ?
lpNtDeviceIoControl        dd        ?        ;存放旧NtDeviceIoControl
lpNewNtDeviceIoControl        dd        ?        ;存放新NtDeviceIoControl
ImportNtDeviceIoControl        dd        ?        ;导入表中用于存放NtDeviceIoControl地址的内存
 
.const
szCaption        db        '提示!',0
szMswsock        db        'mswsock.dll',0
szNtDll                db        'ntdll.dll',0
szNtDeviceIoControlFile        db        'NtDeviceIoControlFile',0
 
.code
;------------------------------------------------------
;NtDeviceIoCont
最低0.47元/天 解锁文章
幽灵代码
关注
专栏目录
为什么使用汇编可以 Hook objc_msgSend(上)- 汇编基础
Desgard_Duan
04-15 1000
iOS 方案之本(Essence of Workaround in iOS) 是我写的一个专题。在大厂的各路优化方案中,只是告诉了我们为了达到目的怎么去做,但是并没有说这个方案的本质原因...
汇编ring3下实现HOOK API
yingfox的专栏
12-05 1128
导读:   标 题:汇编ring3下实现HOOK API【原创】   作 者:非安全   时 间:2006-07-12,18:39   链 接:http://bbs.pediy.com/showthread.php?t=28895   汇编ring3下实现HOOK API(二次修改版)   【文章标题】汇编ring3下实现HOOK API   【文章作者】nohacks(非安全,hacke
汇编HooK
qq_35426012的博客
11-05 967
设计思路 远程申请内存 利用汇编指令在系统API开头劫持跳转 当自己的代码执行完再重新跳转回目标API 示例代码如下 386 .model flat, stdcall ;32 bit memory model option casemap :none ;case sensitive include Inject.inc .code InjectCode: pop ea...
IAT Hook 导入
11-01 203
每一个模块都会有导出导入。IAT HOOK就是修改导入内的函数,使得模块中的 CALL [XXXXX] call到自己的函数里面去。执行自己的功能 模块开始是 IMAGE_DOS_HEADER,这个结构内有一个e_flew成员,这是个偏移,h_module+e_flew可以得到 IMAGE_NT_HEADER,Nt头内包含了很多信息,导入也在这里面。 PIMAGE_...
Win32汇编注入:APIHook
01-21 1055
1,APIHook 概述:概述:注入windows画图工具(32位),让画图工具启动后,只要画图工具调用要hookapi,就能弹出一个对话框;以上关键使用APIHookAPIHook也是杀软主动防御的一个基础; 2,提前搞清楚几个问题 2.1 A和W版本 WindowsAPI有A和W版本,如果使用A版本,A版本最后还是会调用W版本,所以尽可能hook的是W版本;这里涉及到其他问
[Win32] API Hook(1)在32位系统上的实现
zuishikonghuan的博客
08-25 9353
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: API Hook技术,虽然很老了,但是依旧是很有用的技术,同时网上的资料往往不能直接拿过来用,c语言的太少。这回呢,我要用C语言来完整的编写一个Win32SDK编程的API Hook源码,但是我还是用cpp保存编译,为哈?因为微软对c语言标准支持的很不好,我不知道vs2013支持c
进程机器码hook_HOOK技术的一些简单总结
weixin_33533460的博客
12-29 1082
好久没写博客了, 一个月一篇还是要尽量保证,今天谈下Hook技术。在Window平台上开发任何稍微底层一点的东西,基本上都是Hook满天飞, 普通应用程序如此,安全软件更是如此, 这里简单记录一些常用的Hook技术。基本上做Windows开发都知道这个API, 它给我们提供了一个拦截系统事件和消息的机会, 并且它可以将我们的DLL注入到其他进程。但是随着64位时代的到来和Vista之后的UAC机制...
Detours简介 拦截x86机器上的任意的win32 API函数
ffghggf的博客
11-15 454
Detours简介 拦截x86机器上的任意的win32 API函数
注入(5)---导入注入(HookINT)
weixin_33841722的博客
10-13 314
导入是WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入,PE加载器会根据导入来加载进程需要的其他DLL模块。 导入的数据结构如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; ...
android so hook原理,Android so注入(inject)和Hook技术学习(二)——Gothook导入hook...
weixin_42128141的博客
05-27 564
全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。GOT其实包含了导入和导出,导出指将当前动态库的一些函数符号保留,供外部调用,导入中的函数实际是在该动态库中调用外部的导出函数。这里有几个关键点要说明一下:(1) so文件的绝对路径和加载到内存中的基址是可以通...
获取进程导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
导入注入(又称静态HOOK自动HOOK
LiWeiHua01的博客
06-06 448
导入注入自动HOOK静态HOOK
windows 导入/导出 hook
最新发布
pureman_mega的博客
06-22 448
【代码】windows iat hook
通过WINNT.H定义的结构体,获取进程IAT
enjoy5512的博客
06-02 1139
利用已定义的PE文件结构体获取本进程的IAT
IAT hook实现 (修改pe中的导入实现hook)
&Ψ的博客
07-21 1447
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入导入中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
获取内存中可执行文件的PE结构--导入
nuy195as
01-17 243
获取内存中可执行文件的PE结构--导入 2012年01月14日   // MemPEImportTable.cpp : 定义控制台应用程序的入口点。   //   // 1、提升自身进程的权限   // 2、获取其他进程的句柄和在内存中的起始地址   // 3、读取其他进程的Import信息   // 4、打印出其他进程的Import信息   // 5、如果是系统级进程可能...
进程导入修复工具——Universal Import Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-09 3888
下载 非开源,下载UniversalImportFixer(UIF)v1.2FINAL-系统安全文档类资源-CSDN下载 使用前提: 需要先修复进程内的API调用,如:vmp保护的进程API调用都会变成对vmp函数的调用,需要先将它们修复成对真实API函数的调用。 需要管理员权限打开。 功能: 根据代码段调用的API函数,对内存中进程导入相关结构进行修复。 使用方法: 打开主界面: 填入进程ID,代码段的起始位置,代码段后面段的起始位置(代码段结束位置+1) 新..
RVA to RAW?汇编程序输出PE文件导入/导出
m0_52196359的博客
11-16 2101
汇编程序输出PE导入,导出
系统服务创建和服务-win32汇编完整版
爱杀之爪的矩阵
12-12 797
.386 .model flat, stdcall option casemap :none ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; Include 文件定义 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
使用HOOKAPI防止进程被终止的实现方法
"这篇文章主要介绍了如何使用HOOKAPI技术来实现进程的防终止保护,作者首先提到了学习HOOKAPI的初衷是为了监控剪切板,但在实际需求中应用到了进程保护。文章详细阐述了实现进程防终止的步骤,主要包括HOOK ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值