Windows Practice_Dll&Hook_Hook是什么?

最新推荐文章于 2021-09-28 16:01:45 发布
最新推荐文章于 2021-09-28 16:01:45 发布
阅读量349 收藏
点赞数 1
分类专栏: Windows实训 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011371629/article/details/78075667
版权

Hook是什么?

Hook能够改变软件的功能,比如添加新功能和修改原功能的执行流程。

这里写图片描述

使用Hook是针对于没有源码的情况下才使用的,如果有源码,就没必要Hook了。

Hook是如何改变程序的流程的

程序块

程序块结构(program block struction)是一种程序结构形式。这种结构将整个程序分为若干个信息快或子程序块,使程序变得清晰,便于阅读和修改。
所以程序中的每一块,都是Hook的一个点。

作业

通过在网上搜索的一些资料,整理如下:

一、IAT是什么?
IAT的全称Import Address Table,即导入地址表。

IAT是一个IMAGE_THUNK_DATA(分为IMAGE_THUNK_DATA32和IMAGE_THUNK_DATA64,两者的区别在于DWORD长度的不同,一个是32位的,另一个是64位的)类型数组。可执行文件中有多少个函数被导入,这个数组就有多少个成员,该数组以0结尾。
IMAGE_THUNK_DATA32的结构体如下所示:
typedef struct _IMAGE_THUNK_DATA32
{
    union
    {
        DWORD ForwarderString;  // 一个RVA地址,指向forwarder string 
        DWORD Function;     // PDWORD,被导入的函数的入口地址
        DWORD Ordinal;      // 该函数的序数
        DWORD AddressOfData;    // 一个RVA地址,指向IMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA32;
IMAGE_THUNK_DATA64的结构体如下所示:
typedef struct _IMAGE_THUNK_DATA64
{
    union
    {
        ULONGLONG ForwarderString;  // PBYTE 
        ULONGLONG Function;         // PDWORD
        ULONGLONG Ordinal;
        ULONGLONG AddressOfData;    // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA64;
typedef IMAGE_THUNK_DATA64 * PIMAGE_THUNK_DATA64;
从这个结构体可以看出,无论是32位还是64位,它的大小就是一个指针的大小,它实际上就是导入函数地址(Import Address,IA)。

二、IAT属于哪个结构
IAT属于PE文件的PE文件头结构。
在PE文件头当中,有一个数据目录表,在这个表中,定义了导入表、导出表、资源表等的其实RVA与大小。

三、IAT如何定位
定位IAT的方法分为两类:分别是PE装载器已经装载的可执行文件和通过内存映射方法读取的可执行文件。
使用PE装载器已经装载的可执行文件方法定位IAT的步骤:
①获取已经运行的可执行文件在内存中的基地址,也就是通常所说的IMAGEBASE。
②进程的基地址就是PE的IMAGE_DOS_HEADER结构体的首地址。
③定位到PE文件头。基址hMod加上IMAGE_DOS_HEADER结构的e_lfanew成员到达IMAGE_NT_HEADERS,NT文件头的前4字节是文件签名(“PE00” 字符串),然后是20字节的IMAGE_FILE_HEADER结构,即到达IMAGE_OPTIONAL_HEADER结构的地址,获取了一个指向IMAGE_OPTIONAL_HEADER结构体的指针。
④定位到导入表。通过IMAGE_OPTIONAL_HEADER结构中的DataDirectory结构数组中的第二个成员中的VirturalAddress字段定位到IMAGE_IMPORT_DESCRIPTOR结构的起始地址,即获得导入表中第一个IMAGE_IMPORT_DESCRIPTOR结构的指针(导入表首地址) 。

艺术人生666
关注
专栏目录
英语方面的缩略语
denghuaken9487的博客
10-02 9304
A...AA Auto AnswerAAB All-to-All BroadcastAAL Asynchronous Transfer Mode Adaption LayerAAP Applications Access Point [DEC]AARP AppleTalk Address Resolution ProtocolAAS All-to-All Scatte...
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
最新发布
西京刀客
03-08 2564
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
Windows Practice_Dll&Hook_DetourHook
艺术人生的专栏
10-03 712
DetoursDetours是经过微软认证的一个开源软件,下载地址,虽然是开源软件,但是它又分成了两个版本,分别是: Detours Professional 3.0 is available for commercial use. Detours Express 3.0 is available for immediate download under a no-fee license for r
Windows Practice_Dll&Hook_封装IAT Hook
艺术人生的专栏
09-24 405
进程保护器的实现本程序实现了一个简单的暴力的进程保护器,其原理也很简单,就是修改导入表,挂钩TerminateProcess函数,因为这个函数可以远程无条件的结束其它进程,所以我们要挂钩这个函数。 因为每一个程序都有可能结束要保护的程序,所以我们必须以Dll的形式注入到每一个进程中,这就涉及到注入的问题了,而Windows给我们提供了一个简单的全局挂钩的函数,即SetWindowsHook函数。
Windows Practice_Dll&Hook_IAT Hook
艺术人生的专栏
09-24 307
PE结构PE结构时Windows中一个比较大的结构体,它的整个结构体图如下所示: 给MessageBoxW函数挂钩我们自己的函数就是我们挂钩之后,调用MessageBoxW函数后,会进入到我们自己的函数中执行我们自己的代码。挂钩还原之后,还可以正常的调用MessageBoxW函数,这就是这个测试程序的功能。// IATHookDemo.cpp : 定义控制台应用程序的入口点。 // #includ
Lua - 调试接口
skyremember的专栏
10-25 1万+
 Lua - 调试接口4 - 调试接口 The Debug InterfaceLua 没有内置的调试设施。它使用一种特殊的接口,这种接口依赖函数和 钩子(hooks)。该接口允许构造不同种类的调试器,分析器以及其他工具用以从解释器得到所需的信息。 4.1 - 堆栈及函数信息 Stack and Function Information得到解释程序运行时堆栈信息的主要函数是:
集成电路芯片半导体中英文对照术语词汇表
weixin_45825101的博客
07-24 2万+
英语 中文 1-9   10 gigabit 10 Gb 1st Nyquist zone 第一奈奎斯特区域 3D full‑wave electromagnetic solver 3D 全波电磁解算器 3-state 三态 4th generation segmented routing 第四代分层布线技术 5G commercialization 5G 商用 7 series FPGA 7 系列 FPG
Windows Practice_Dll&Hook_消息钩子
艺术人生的专栏
09-24 385
DllDll就是我们通常所说的动态链接库(Dynamic Link Library),它和应用程序在本质是没有任何区别的,它也是一个可执行文件,它们都有相同的PE结构。 但是两者在应用上面还是有一些区别的,Dll一般作用exe应用程序的补充体,它是一个模块,用来被exe文件加载。 在Windows中有一部分exe文件也是能够被加载的,比如.oxc后缀的控件格式。为什么大部分应用程序喜欢使Dll
计算机专业术语对照表_艾孜尔江编
热门推荐
艾孜尔江的博客
09-28 11万+
A abstraction layer,抽象层 access,获取,存取 acoustic coupler,声音耦合器 Active Directory,活动目录 Acyclic Dependencies Principle,非循环依赖原则(ADP) acyclic digraph,有向无环图 Adaptive Code,自适应代码 Add Parameter,添加参数 ADSL,Asymmetrical Dingital Subscriber Loop,非对称数字用户环线 affinity,绑定 aff
Windows Practice_文件搜索器(一)递归
艺术人生的专栏
08-16 637
背景由于Windows自带的文件搜索的搜索速度比较慢,所以我们需要自己写一个文件搜索器来提高文件的扫描速度。文件搜索需要用到两个Windows API,一个是FindFirstFile,另一个是FindNextFile函数。 首先我们先来看一下这两个函数的原型:HANDLE WINAPI FindFirstFile( _In_ LPCTSTR lpFileName,
Windows Practice_文件_文件分割器(一)
艺术人生的专栏
09-17 556
文件分割的意义有以下几点需要进行文件分割: 以前的硬盘格式是FAT32,也是意味着最大的内存放的单个文件是4GB,如果文件超过4GB,就需要进行分割成小于4GB的文件才能存储到硬盘上; 网络虚度比较慢,并且还会出现中断,一旦中断,下载的文件就会失效。 我们在做分割时候,除了考虑分割外,还需要考虑合并,否则分割也就没有意义了。CFile函数注意事项CFile默认打开的是文本格式,这不符合文件风格的要求
Windows Practice_文件_文件基础操作
艺术人生的专栏
09-10 459
Windows中文件在Windows编程中,少不了打交道的肯定是文件,但是我们绝大多数接触到的都是文件的表象。 在Windows中有各种各样的文件,大致有: - exe dll:可执行文件 - txt:文本文件 - jpg bmp gif: 图像图形文件 - lnk: 快捷方式文件 - rar 7z zip iso:压缩文件 - avi mp4 rmvb 影音文件这些文件实
Windows Practice_内存映射_加载BMP
艺术人生的专栏
09-17 458
什么是BMP,为什么我们会经常使用这种图片格式?微软给我们专门提供了一个加载位图的LoadBitmap函数,这说明bmp格式图片在Windows中使用的比较多。 我们知道没一种文件都有它自己的文件结构,那么bmp就是一种位图形式的文件格式。既然bmp也是一种文件,那么我们也可以使用CreateFile函数进行打开。bmp文件格式详解先看下面一个简单的例子:void CFileMapBMPDlg::
Windows Practice_作业 Easy QQ的实现
艺术人生的专栏
10-03 454
QQ原理对于qq这样的聊天软件来说,简单的来讲,它有一个服务端、多个客户端,因为服务端只有一个,所以也就没什么区别,而所有的客户端也是一模一样。 每个客户端只能通过向服务端发送消息,服务端通过解析,从而决定下一步怎样做。 比如一个客户端1想给客户端2发送一条“Hello”的消息,服务器收到后,就会将这条消息发送给客户端2(这里所说的都是在线的,不在线的情况暂不考虑)。WSAAsyncSelect
Windows Practice(八)_MFC
艺术人生的专栏
09-08 447
简单的Spy++实现从Spy++运行的效果来看,我们不难推测出,它是根据鼠标移动的位置来进行窗口的查找。那么是什么API呢?那就需要靠万能的谷歌和百度了。源码实现: 解决方案结构如下: 运行效果如下图: 主要代码如下:// Spy++DemoDlg.cpp : 实现文件 //#include "stdafx.h" #include "Spy++Demo.h" #include "Spy++
Windows Practice_闹钟(二)_简易记事本
艺术人生的专栏
08-29 429
Windows 编程学习方法对于常用的几千个Windows API,我们是记不住的,所以我们需要常用常查,用多了自然而然的就熟悉了,有的API记得不是很清楚我们查文档,上网查资料就可以解决了。简易记事本的完善这个记事本支持在窗口上任意位置输入字符串,还有行与行以及字符与字符之间的对齐。// Notepad.cpp : 定义应用程序的入口点。 //#include "stdafx.h" #includ
Windows Practice_文件_内存映射(一)
艺术人生的专栏
09-10 426
大文件数据操作我们以全国开放数据(数据纯属伪造)为例,它的文件格式是csv,也是经常使用的一种文件存储格式,它是以逗号和换行来进行区分数据段和行来进行数据的区分。 今天我们把一个文件中的2000000条数据进行处理。文件操作的几种方式#include <stdio.h> #include <Windows.h> #include <clocale>const UINT MAXLINESIZE =
Windows Practice_闹钟(一)_简易记事本
艺术人生的专栏
08-23 390
Windows界面实现一个简易的记事本// PoEduNotepad.cpp : 定义应用程序的入口点。 //#include "stdafx.h" #include <string>#include "PoEduNotepad.h"#define MAX_LOADSTRING 100// 1 有一个窗口类,并且是在系统中注册的,也就说有两个窗口只需要注册一次就可以了。窗口类中有很多信息,这会决定W
Windows Practice_文件搜索器(四)_封装文件扫描器
艺术人生的专栏
08-23 381
类的封装虽然前面几节实现了一个文件扫描器,但是总的来说都比较不好,因为我们无法对这些代码重用,所以我们要对文件扫描器进行封装。 但是一般的对于查找器的封装有两种查询方式,一种是阻塞的方式,另一种是非阻塞的方式,相信大家对这两种工作方式都已经很熟悉了。但是我还是要简单的介绍一下吧! 阻塞方式就是程序在执行这个函数的时候是被卡主的,直到所有的文件找完之后才退出; 非阻塞方式执行这个函数时候,会立即
Windows Practice_Socket
艺术人生的专栏
10-03 372
TCP/IP在世界各地,各种各样的电脑运行着各自不同的操作系统,从而为大家服务,这些电脑在表达同一种信息的时候使用的方法千差万别。就好像圣经中上帝打乱了各地人的口音,让他们无法合作一样。计算机使用者意识到,计算机只是单兵作战并不能发挥太大的作用。也只有把它们联合在一起,电脑才会发挥出它最大的潜力。于是人们就想方设法的用电线或者光纤将电脑连接到了一起。 但是简单的连到一起是远远不够的,就好像语言不通
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值