InlineHOOK

最新推荐文章于 2024-04-24 10:07:00 发布
最新推荐文章于 2024-04-24 10:07:00 发布
阅读量4.4k 收藏 7
点赞数 1
文章标签: HOOk Inline hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010738823/article/details/85706371
版权 
//inline hook 实际上就是指 通过改变目标函数头部的代码来使改变后的代码跳转至我们自己设置的一个函数里,产生hook.

#include <windows.h>
#include <stdio.h>

//定义一个与MessageBoxA类型一致的函数指针。
typedef int (WINAPI * MessageBox_type)(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);
MessageBox_type RealMessageBox = MessageBoxA;

//自定义的MessageBox,每调用MessageBox都要跳到myMessageBox来处理
_declspec(naked) void WINAPI myMessageBox(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
    __asm
    {
        PUSH ebp
        mov ebp,esp    //平衡栈顶
        push esi    //由于编译后的代码会有cmp esi esp来比较堆栈。所以这里在执行功能代码前保存一下esi.
    }
    
    //在此加入HOOK之后要执行的功能代码。
    //此处举例打印出系统API:MessageBox的参数
    printf("hwnd:%d  lpText:%s  lpCaption:%s  uType:%d  \n",hWnd,lpText,lpCaption,uType); //由于myMessageBox是直接在API MessageBoxA的头部跳转过来的,MessageBoxA的栈空间没被改变,所以其参数可被myMessageBox直接使用。

    __asm
    {
        pop esi    //恢复esi.
        mov ebx,RealMessageBox
        add ebx,5    //JMP dword ptr 占5个字节(远地址跳转)如:E9 90604000; RealMessageBox为API MessageBoxA的地址,所以此处为JMP dword ptr [MessageBoxA的硬编码地址+5]
        jmp ebx        //跳回到API MessageBoxA的真实地址。
    }
}

#pragma pack(1) //规定数据对齐系数的最大值为1个字节。
typedef struct _JMPCODE    //用于覆盖API MessageBoxA的头部的5个字节。
{
    BYTE jmp;
    DWORD addr; //跳转到钩子函数myMessageBox。
}JMPCODE,*PJMPCODE;

VOID HookMessageBoxA() //通过修改API MessageBoxA 函数入口来进行Inline HOOK
{
    JMPCODE jcode;
    jcode.jmp = 0xe9;//jmp的硬编码
    jcode.addr = (DWORD)myMessageBox - (DWORD)RealMessageBox - 5;

    ::WriteProcessMemory(GetCurrentProcess(),MessageBoxA,&jcode,sizeof(JMPCODE),NULL);//修改API MessageBoxA前5个字节实现跳转到自定义的钩子函数myMessageBox。
    //GetCurrentProcess() 获取当前进程句柄(内存基址)。
}

int main(int argc, char * argv[])
{
    HookMessageBoxA();  //hook操作
    ::MessageBoxA(NULL,"InlineHOOK Test.","Title here",MB_OK); //直接加双冒号::表示使用全局函数,当全局函数没有该函数时即指API函数。
    return 0;
}

 

九月北雪
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Delphi+内联汇编,hookapi经典之作编译后7.5k
09-17
代码采用delphi内联汇编的编写方式,hookApi技术的经典之作,并且运用DELPHI mini编译技术,完整功能的dll不超过8k,一切最精简最高效的delphi编程技术,展现delphi汇编编程的魅力。
wlanapi的delphi的部分声明
11-14
根据MSDN上的wlanapi部分转换。只转了一部分。
Delphiinline Hook socket API常见问题的解决
zbc_vc的专栏
12-07 1287
鄙人近期正在写一个Sniffer,用的是inline Hook socket API的方法,原理想起来很简单,但真正开始操作后才发现有很多细节上的问题,在Google上搜了一下,发现很多人都有相同或相似的问题,经过我的不断摸索,终于将它们一一解决,却又不敢独享. 一.被注入代码的进程莫名其妙出错 这是由于多个线程对Socket API同时调用而造成的(inline hook api是用拆东
C/C++:Windows编程—Inline Hook内联钩子(上)
重庆李四
06-10 4378
前言 先介绍下Windows中的Hook技术。Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。Windows中的Hook技术的方法较多,常见的有Inline Hook、IAT Hook、EAT Hook ...
探索R3eptHook:一款强大的JavaScript Hook
最新发布
gitblog_00051的博客
04-24 328
探索R3eptHook:一款强大的JavaScript Hook库 项目地址:https://gitcode.com/bb33bb/r3epthook 在前端开发中,有时我们需要对代码进行深入的调试或者性能优化,这就需要能够控制和修改JavaScript运行时的行为。R3eptHook就是这样一款强大的JavaScript Hook库,它允许开发者深度介入函数调用过程,实现灵活的监控、拦截和改造。...
linux kernel 5.0 inline hook框架
qq_42931917的博客
03-18 1042
linux kernel inline hook
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
C++实现inline hook的原理及应用实例
09-04
【C++ Inline Hook原理】 Inline Hook是Windows编程中一种高级技术,主要用于监控或修改系统调用的行为。在C++中实现inline hook,主要是通过在目标函数的内存空间中插入跳转指令,使得当函数被调用时,控制流会...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
武希松大牛的dll Hook单元,delphi源代码加demo
05-05
delphi-hook-library, wr960204武稀松.2012.2 主页 http://www.raysoftware.cn 通用Hook库. 支持X86和X64. Get 使用了开源的BeaEngine反汇编引擎.BeaEngine的好处是可以用BCB编译成OMF格式的Obj, 被链接进Delphi的DCU和目标文件中.不需要额外带DLL. BeaEngin引擎 http://www.beaengine.org/ 限制: 1.不能Hook代码大小小于5个字节的函数. 2.不能Hook前五个字节中有跳转指令的函数. 希望使用的朋友们自己也具有一定的汇编或者逆向知识. Hook函数前请确定该函数不属于上面两种情况. 另外钩COM对象有一个技巧,如果你想在最早时机勾住某个COM对象, 可以在你要钩的COM对象创建前自己先创建一个该对象,Hook住,然后释放你自己的对象. 这样这个函数已经被下钩子了,而且是钩在这个COM对象创建前的.
内存注入(IAT HookInline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
电脑版微信C++源码
06-09
电脑版微信,C++源码 基于web微信改编
Inline Hook
weixin_44711063的博客
03-11 2676
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hookinline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
C/C++:Windows编程—Inline Hook内联钩子(下)
重庆李四
06-10 1677
前言 在上节中介绍了 InlineHook 钩子函数,主要是通过jmp 目标地址(转为机器码E9 偏移量) 来实现的,是修改被Hook函数首地址处的 5个字节的内容。这里再介绍另一种方法,修改被Hook函数首地址处的7字节的内容。我们看下图的汇编指令 之前是jmp 目标地址(5字节),这次是将目标地址放到 eax寄存器中 这里是2条汇编指令(00B417E4-00B417DF = 7字节)。他们...
浏览器的定制与扩展
weixin_34166847的博客
06-24 197
下载源代码 本文分如下章节: 前言 在MFC中使用浏览器 怎样扩展或定制浏览器 定制鼠标右键弹出出菜单 实现脚本扩展(很重要的external接口) C++代码中如何调用网页脚本中的函数 定制消息框的标题 怎样定制、修改浏览器向Web服务器发送的HTTP请求头 怎样修改浏览器标识 去掉讨厌的异常警告 怎样处理浏览器内的拖放 怎样禁止网页元素的选取...
linux arm和x86 inline hook技术
fanlilei的专栏
11-18 3651
Suterusu Rootkit: Inline Kernel Function Hooking on x86 and ARM Posted on January 7, 2013 Table of Contents IntroductionFunction Hooking in Suterusu Function Hooking on x86 Write Protec
滴水逆向三期15611 进程通信 项目练习
四位的博客
01-10 1422
进程通信联系概要步骤进程通信为什么要进程通信命名管道dll 无模块注入为什么必须是dllshellcode 注入模块注入shellcode 部分Extract代码 概要 最终效果 创建进程通信 通信测试 IATHOOK 剪切板内容 inlineHook 创建进程 文章分如下几部分 步骤 进程通信 dll注入 问题总结 本篇文章不是一个实现过程, 而是一个关于这个项目的一个总结, 包含了比较多外链, 帮助更好的理解. 步骤 实现进程通信 无模块注入dll hook 进程通信
inline hook
04-29
Inline hook是一种常见的hook技术,它是指在程序运行时通过修改程序代码的方式来实现hook的目的。具体来说,当程序执行到某个函数时,inline hook会将原来的函数代码替换成hook函数的代码,从而实现对原函数的拦截和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值