Windows Practice_Dll&Hook_IAT Hook

最新推荐文章于 2019-10-02 10:24:28 发布
最新推荐文章于 2019-10-02 10:24:28 发布
阅读量287 收藏 1
点赞数 1
分类专栏: Windows实训 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011371629/article/details/78075849
版权

PE结构

PE结构时Windows中一个比较大的结构体,它的整个结构体图如下所示:
这里写图片描述

给MessageBoxW函数挂钩我们自己的函数

就是我们挂钩之后,调用MessageBoxW函数后,会进入到我们自己的函数中执行我们自己的代码。挂钩还原之后,还可以正常的调用MessageBoxW函数,这就是这个测试程序的功能。

// IATHookDemo.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include <Windows.h>
#include <DbgHelp.h>
#pragma comment(lib, "Dbghelp")

DWORD g_dwOldFunc, g_dwNewFunc;

// 写到DLL中
typedef int (WINAPI *MESSAGEBOXW_FUNC)(_In_opt_ HWND hWnd, _In_opt_ LPCTSTR lpText, _In_opt_ LPCTSTR lpCaption, _In_ UINT uType);

BOOL ResetHook(DWORD dwOldFunc, DWORD dwNewFunc)
{
    BOOL bRet = FALSE;
    HANDLE hMod = GetModuleHandle(nullptr);

    IMAGE_DOS_HEADER *pDosHeader = reinterpret_cast<IMAGE_DOS_HEADER*>(hMod);
    IMAGE_OPTIONAL_HEADER *pOptHeader = reinterpret_cast<IMAGE_OPTIONAL_HEADER *>(reinterpret_cast<BYTE *>(hMod) + pDosHeader->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));

    IMAGE_IMPORT_DESCRIPTOR *pImportDesc = reinterpret_cast<IMAGE_IMPORT_DESCRIPTOR *>(static_cast<BYTE *>(hMod) + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

    while (pImportDesc->FirstThunk)
    {
        char *strDllName = reinterpret_cast<char *>(static_cast<BYTE *>(hMod) + pImportDesc->Name);
        if (strcmp(strDllName, "USER32.dll") == 0)
        {
            break;
        }

        ++pImportDesc;
    }

    if (pImportDesc->FirstThunk)
    {
        IMAGE_THUNK_DATA *pThunkData = reinterpret_cast<IMAGE_THUNK_DATA *>(static_cast<BYTE *>(hMod) + pImportDesc->FirstThunk);
        while (pThunkData->u1.Function)
        {
            if (pThunkData->u1.Function == dwNewFunc)
            {
                DWORD *lpAddr = &(pThunkData->u1.Function);
                DWORD dwOldProtect;
                MEMORY_BASIC_INFORMATION mbi;
                VirtualQuery(lpAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION));
                VirtualProtect(lpAddr, sizeof(DWORD), PAGE_READWRITE, &dwOldProtect);

                pThunkData->u1.Function = dwOldFunc;

                VirtualProtect(lpAddr, sizeof(DWORD), dwOldProtect, nullptr);

                bRet = TRUE;
                break;
            }
        }
    }

    return bRet;
}

int WINAPI MyMessageBox(_In_opt_ HWND hWnd, _In_opt_ LPCTSTR lpText, _In_opt_ LPCTSTR lpCaption, _In_ UINT uType)
{
    MESSAGEBOXW_FUNC func = (MESSAGEBOXW_FUNC)g_dwOldFunc;
    return func(nullptr, L"成功修改MessageBowW函数", L"提示", MB_OK);
}

BOOL MySetHook()
{
    // 使用普通的方式查找要替换的函数地址
    BOOL bRet = FALSE;
    HANDLE hMod = GetModuleHandle(nullptr);

    IMAGE_DOS_HEADER *pDosHeader = reinterpret_cast<IMAGE_DOS_HEADER*>(hMod);
    IMAGE_OPTIONAL_HEADER *pOptHeader = reinterpret_cast<IMAGE_OPTIONAL_HEADER *>(reinterpret_cast<BYTE *>(hMod) + pDosHeader->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));

    IMAGE_IMPORT_DESCRIPTOR *pImportDesc = reinterpret_cast<IMAGE_IMPORT_DESCRIPTOR *>(static_cast<BYTE *>(hMod) + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

    while (pImportDesc->FirstThunk)
    {
        char *strDllName = reinterpret_cast<char *>(static_cast<BYTE *>(hMod) + pImportDesc->Name);
        if (strcmp(strDllName, "USER32.dll") == 0)
        {
            break;
        }

        ++pImportDesc;
    }

    if (pImportDesc->FirstThunk)
    {
        DWORD dwFuncAddr = reinterpret_cast<DWORD>(MessageBoxW);
        IMAGE_THUNK_DATA *pThunkData = reinterpret_cast<IMAGE_THUNK_DATA *>(static_cast<BYTE *>(hMod) + pImportDesc->FirstThunk);
        while (pThunkData->u1.Function)
        {
            if (pThunkData->u1.Function == dwFuncAddr)
            {
                DWORD *lpAddr = &(pThunkData->u1.Function);
                DWORD dwOldProtect;
                MEMORY_BASIC_INFORMATION mbi;
                VirtualQuery(lpAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION));
                VirtualProtect(lpAddr, sizeof(DWORD), PAGE_READWRITE, &dwOldProtect);

                g_dwOldFunc = pThunkData->u1.Function;
                pThunkData->u1.Function = reinterpret_cast<DWORD>(MyMessageBox);
                g_dwNewFunc = pThunkData->u1.Function;

                VirtualProtect(lpAddr, sizeof(DWORD), dwOldProtect, nullptr);

                bRet = TRUE;
                break;
            }
        }
    }

    return bRet;
}

int main()
{
    MessageBoxW(nullptr, L"Test", L"Tips", MB_OK);

    MySetHook();

    MessageBoxW(nullptr, L"Test", L"Tips", MB_OK);

    ResetHook(g_dwOldFunc, g_dwNewFunc);

    MessageBoxW(nullptr, L"Test", L"Tips", MB_OK);

    system("pause");
    return 0;
}

这个程序一般没有什么问题,但是有一点需要注意,那就是我们在修改程序地址的时候,会出现修改失败,这是因为我们没有写的权限。需要修改这一段内存空间的读写权限,把它改为可读可写的权限,这样才能修改IAT表中的函数地址。

艺术人生666
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
microsoft.practices 的dll下载
11-21
适用于c #的开发的dll 里面有4个类型的dll 下载引用就可以
C# Unity依赖注入
HPFBoy的博客
02-24 356
简介:    控制反转:我们向IOC容器发出获取一个对象实例的一个请求,IOC容器便把这个对象实例“注入”到我们的手中,在这个过程中你不是一个控制者而是一个请求者,依赖于容器提供给你的资源,控制权落到了容器身上。这个过程就是控制反转。     依赖注入:我们向容器发出请求以后,获得这个对象实例的过程就叫依赖注入。    关于Ioc的框架有很多,比如astle Windsor、Unity、Spring.NET、StructureMap,我们这边使用微软提供的Unity做示例,你可以使用Nuge...
Windows Practice_Dll&Hook_消息钩子
艺术人生的专栏
09-24 349
DllDll就是我们通常所说的动态链接库(Dynamic Link Library),它和应用程序在本质是没有任何区别的,它也是一个可执行文件,它们都有相同的PE结构。 但是两者在应用上面还是有一些区别的,Dll一般作用exe应用程序的补充体,它是一个模块,用来被exe文件加载。 在Windows中有一部分exe文件也是能够被加载的,比如.oxc后缀的控件格式。为什么大部分应用程序喜欢使Dll
Windows Practice_Dll&Hook_封装IAT Hook
艺术人生的专栏
09-24 372
进程保护器的实现本程序实现了一个简单的暴力的进程保护器,其原理也很简单,就是修改导入表,挂钩TerminateProcess函数,因为这个函数可以远程无条件的结束其它进程,所以我们要挂钩这个函数。 因为每一个程序都有可能结束要保护的程序,所以我们必须以Dll的形式注入到每一个进程中,这就涉及到注入的问题了,而Windows给我们提供了一个简单的全局挂钩的函数,即SetWindowsHook函数。
Windows Practice_Dll&Hook_Hook是什么?
艺术人生的专栏
09-24 328
Hook是什么?Hook能够改变软件的功能,比如添加新功能和修改原功能的执行流程。使用Hook是针对于没有源码的情况下才使用的,如果有源码,就没必要Hook了。Hook是如何改变程序的流程的程序块程序块结构(program block struction)是一种程序结构形式。这种结构将整个程序分为若干个信息快或子程序块,使程序变得清晰,便于阅读和修改。 所以程序中的每一块,都是Hook的一个点。作
Windows项目实战开发-杨波-专题视频课程
qq_36683836的博客
03-26 222
(一)Windows Practice_文件搜索器 由于Windows自带的文件搜索的搜索速度比较慢,所以我们需要自己写一个文件搜索器来提高文件的扫描速度。 文件搜索需要用到两个Windows API,一个是FindFirstFile,另一个是FindNextFile函数。 首先我们先来看一下这两个函数的原型: ……...
英语方面的缩略语
denghuaken9487的博客
10-02 8538
A...AA Auto AnswerAAB All-to-All BroadcastAAL Asynchronous Transfer Mode Adaption LayerAAP Applications Access Point [DEC]AARP AppleTalk Address Resolution ProtocolAAS All-to-All Scatte...
[DOC]Hooking Windows api
Gue_Studio
03-29 1409
http://hxdef.org/knowhow/hookingen.txt===========================[ Hooking Windows API ]==============================                 Technics of hooking API functions on Windows                
Analysis of a win32 Userland Rootkit
01-12 4327
SummaryA rootkit is a program designed to control the behavior of a given machine. This is often used to hide the illegitimate presence of a backdoor and others such tools. It acts by denying the list
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
Sample for how to hook IAT table
iat_hook.zip_Want It_iat hook
09-20
This is the project to hook import address table. It is very important to hook import address table. To do this can reverse something what you want. Thanks.
ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll
09-20
API Hook示例代码:用来将自定义的 Dll 注入进程空间,并钩住指定 API 函数,关于注入和钩 API 的代码,这里主要介绍如何使用这个小工具方便实现截获 API 的功能
dll.rar_DLL HOOK
09-23
dll钩子 钩住程序网络连接
Hook_DLL.rar_api hook_hook dll_hook/dll_keyboard dll
09-20
Hook keyboard DLL API
Windows rootkits in 2005
01-17 1363
Windows rootkits in 2005, part oneJames Butler, Sherri Sparks 2005-11-04In 2005, the bar has been raised in the arena of malicious software. This has never before been more evident than in the recent
Windows Practice_Dll&Hook_DetourHook
艺术人生的专栏
10-03 665
DetoursDetours是经过微软认证的一个开源软件,下载地址,虽然是开源软件,但是它又分成了两个版本,分别是: Detours Professional 3.0 is available for commercial use. Detours Express 3.0 is available for immediate download under a no-fee license for r
Windows Practice_文件搜索器(一)递归
艺术人生的专栏
08-16 555
背景由于Windows自带的文件搜索的搜索速度比较慢,所以我们需要自己写一个文件搜索器来提高文件的扫描速度。文件搜索需要用到两个Windows API,一个是FindFirstFile,另一个是FindNextFile函数。 首先我们先来看一下这两个函数的原型:HANDLE WINAPI FindFirstFile( _In_ LPCTSTR lpFileName,
Windows Practice_文件_文件分割器(一)
艺术人生的专栏
09-17 517
文件分割的意义有以下几点需要进行文件分割: 以前的硬盘格式是FAT32,也是意味着最大的内存放的单个文件是4GB,如果文件超过4GB,就需要进行分割成小于4GB的文件才能存储到硬盘上; 网络虚度比较慢,并且还会出现中断,一旦中断,下载的文件就会失效。 我们在做分割时候,除了考虑分割外,还需要考虑合并,否则分割也就没有意义了。CFile函数注意事项CFile默认打开的是文本格式,这不符合文件风格的要求
nf_register_net_hook和nf_register_hook的区别
最新发布
05-05
`nf_register_net_hook` 和 `nf_register_hook` 都是Linux内核中用于注册netfilter钩子函数的函数,但是它们的作用范围不同。 `nf_register_net_hook` 用于注册网络命名空间中的netfilter钩子函数,而 `nf_register...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值