Windows Hook经验总结之二:API Hook实践

最新推荐文章于 2024-07-10 09:57:04 发布
最新推荐文章于 2024-07-10 09:57:04 发布
阅读量2.3k 收藏 6
点赞数 2
分类专栏: C++ Windows Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011559599/article/details/53201989
版权
本文通过CopyFile API为例,详细阐述Windows DLL注入实现API Hook的过程,包括DLL注入器的创建、寻找目标进程PID、执行注入、待注入DLL的设计,以及主程序的调用。DLL注入器核心功能实现,包括提升权限、注入DLL到目标进程,并在目标进程中执行自定义API,以实现系统API的替换或拦截。
摘要由CSDN通过智能技术生成

前一篇介绍了API Hook的几种方法,本文则直接以CopyFile为例采用DLL注入的方法来展示编码流程。
一个完整的HOOK过程包括四个部分:
1)待注入的DLL
2)DLL注入器
3)目标进程
4)主程序

DLL注入器的实现

注入器需要实现的功能就是将用户DLL注入到目标进程中。可设计为一个独立DLL,方便复用。DLL可规划两个接口,类似内存分配的malloc/free的配对使用。接口如下:

BOOL    WINAPI  Inject(LPCTSTR lpszUsrApiDLL, LPCTSTR lpszHookProcess);
BOOL    WINAPI  Eject(LPCTSTR lpszUsrApiDLL, LPCTSTR lpszHookProcess);

具体实现上代码:

寻找目标进程PID

采用CreateToolhelp32SnapshotProcess32FirstProcess32NextModule32FirstModule32Next
一系列函数即可获得进程列表及模块列表。不是本文重点,就不上代码了。

执行注入

直接上代码

/* 注入,将dll注入到指定进程中,只给出核心代码 */
int     InjectLib(DWORD dwProcessId, LPCTSTR lpszLib)
{
    PTHREAD_START_ROUTINE pfnRemote =(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");

    /*打开目标进程*/  
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);

    /*在目标进程上分配可读写空间*/
    int nMemSize =strlen(lpszLib) + 1;
    void *pRemoteMem = VirtualAllocEx(hProcess, NULL, nMemSize, MEM_COMMIT, PAGE_READWRITE);

    /*写目标进程,将用户DLL加入目标进程空间(未加载)*/
    int ret = WriteProcessMemory(hProcess, pRemoteMem, (void*)lpszLib, nMemSize, NULL); 

    /*在目标进程中建立远线程*/
    HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, pfnRemote, pRemoteMem, 0, NULL); 

    /*目标进程中执行LoadLibrary即将用户DLL真正加载起来生效*/
    WaitForSingleObject(hThread, INFINITE); 
    VirtualFreeEx(hProcess, pRemoteMem,
最低0.47元/天 解锁文章
iter008
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Hook经验总结之一:API Hook方法汇总
ITer之家
11-17 5226
HOOK的目的是用我们自己的代码取代一些函数的代码以改变程序的行为。 静态HOOK:在进程运行前挂钩,采用用户级进程即可完成。比如:有些程序会在启动时需要原光盘,如果我们修改获取驱动类型的函数则可以从硬盘启动。 动态HOOK:挂钩系统进程(如服务)时要动态挂钩 本文介绍常见的hook方法和实现机制。
HOOK Windows API
flowwaterdog的博客
04-26 538
HOOK Windows API 只能HOOK 本地的API,适用于入门学习 HOOK API的一般步骤: 1.定义假API函数 假API函数,除了函数名称和真API不一样之外,其它的都要跟真API的定义相同,如参数类型和返回值、调用形式等。 int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType...
Hook实践
weixin_33713503的博客
05-12 89
一直听说hook,之前也了解了一个hook在Android中的应用,但是也一直没搞懂是什么,这次决定使用一个场景,用例子理解什么是hook,这个场景就是hook免注册跳转Activity,由于该例子中直接反射Activity启动流程中的源码和Handler机制中的源码,因此对Activity启动流程和Handler机制不太熟悉的小伙伴可以参考我上两篇文章哦。 juejin.im/post/5caf...
『网络安全科普』Windows安全之HOOK技术机制
最新发布
2401_84618514的博客
07-10 1220
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
Android Hook技术实践
u012874222的博客
06-06 1831
一、hook简介 hook俗称钩子,主要作用是替换系统内存中的对象,在上层调用此对象的方法的时候可以修改传入参数或者返回值,达到欺骗上层的目的,就像小红帽故事里的大灰狼,通过扮演小红帽的外婆的角色来达到欺骗小红帽的目的。其实hook就是一种中间人劫持的思想,如图所示: 在安卓中实现hook主要通过两种方式: 1.反射技术和代理实现,当然代理不管是动态还是静态的都是可以实现的,但是只能ho
详谈HOOK API的技术
03-13 1498
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或ExtTextOut()这两个函数实现的,在操作系统用这两个函数输出文本之前,就把相应的英文替换成中文而达到即时翻译;IFS和N
Windows Hook经验总结之四:COM组件Hook原理及实践
ITer之家
11-17 4998
前面已经介绍过APIhook方法及具体实践,本文则讲述COM组件的Hook方式。COM组件可简单理解为一个二进制可执行程序或DLL,内部包含一系列的接口和函数。Hook COM本质上也是进行函数地址切换,让它跳到我们自定义的函数执行我们想要的功能。但这一切同样是发生在系统架构下,自定义函数的执行时机不由我们触发。
Windows Hook经验总结之三:Mouse Hook实践
ITer之家
11-17 3068
前面已经写过API注入的Hook应用场景,本文则展示Hook的另一个应用场景:安装WH_MOUSE钩子监控mouse事件(keyboard等类似)。
PB_HOOK_ComData.rar_hook_hook api_hook api 串口_串口钩子监控_钩子串口
07-14
标题中的"PB_HOOK_ComData.rar"暗示了这是一个关于在PowerBuilder(PB)环境中实现串口通信数据监控的...对于学习者来说,这个项目提供了实践经验,可以深入理解串口通信、API钩子的原理以及如何在实际应用中实现它们。
HookAPI函数
P-Blog
06-10 1659
unit dllMain;{*********************************************************程序:   HookAPI函数作者:   sunsjwQQ  :   25656016Blog:   http://www.kao8.cn/blog.asp?name=sunsjw***************************************
HookAPI
12-13
HookAPI 的源代码...
HOOK API技术
05-13
里面是我从网站上查询的HOOK技术,对此有了个了解急需赚取积分下载文件,请原谅
Hook API 工具 + 源代码
09-25
用来将自定义的 Dll 注入进程空间,并钩住指定 API 函数
HOOKAPI大全(强烈推荐)
08-28
HOOKAPI C++ 希望对你有用. 解压密码为:www.londu.net
windows-API劫持(API-HOOK
热门推荐
天使也掉毛
08-14 2万+
API劫持,windows-API劫持(API-HOOK
WINDOWS上的 API HOOK 技术
weixin_34199335的博客
01-25 123
预备知识 每个进程都拥有独立的地址空间 dll动态链接库是所有进程共享的,但是需要注意,这里有个前提。前提是,所有的进程都不会去修改dll的内容,如果有进程A修改了dll的内容,则该dll就变成了进程A私有的了(系统使用copy-on-write方法,复制一份dll到进程A的私有地址空间,然后修改dll内容)。试想,如果任何情况都是共享...
Hook API
性感码农在线写笔记
07-29 376
HookAPI、useState、useEffect等
Windows Hook API技术:动态修改IAT实现钩子
HOOK API技术是一种高级编程技术,主要应用于Windows操作系统中,它允许开发者在应用程序运行时拦截和修改系统API(应用程序接口)的调用,以实现特定的功能扩展或监控。这种技术的核心在于利用PE文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值