EasyHook(一)

最新推荐文章于 2024-04-18 15:44:29 发布
VIP文章 最新推荐文章于 2024-04-18 15:44:29 发布
阅读量3k 收藏 7
点赞数
文章标签: c# 操作系统 c/c++
原文链接:http://www.cnblogs.com/code1992/p/11363984.html
版权

前言

  在说C# Hook之前,我们先来说说什么是Hook技术。相信大家都接触过外挂,不管是修改游戏客户端的也好,盗取密码的也罢,它们都是如何实现的呢?

  实际上,Windows平台是基于事件驱动机制的,整个系统都是通过消息的传递来实现的。当进程有响应时(包括响应鼠标和键盘事件),则Windows会向应用程序发送一个消息给应用程序的消息队列,应用程序进而从消息队列中取出消息并发送给相应窗口进行处理。

  而Hook则是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

  所以Hook就可以实现在键盘/鼠标响应后,窗口处理消息之前,就对此消息进行处理,比如监听键盘输入,鼠标点击坐标等等。某些盗号木马就是Hook了指定的进程,从而监听键盘输入了什么内容,进而盗取账户密码。

C# Hook

  我们知道C#是运行在.NET平台之上,而且是基于CLR动态运行的,所以只能操作封装好的函数,且无法直接操作内存数据。而且在C#常用的功能中,并未封装Hook相关的类与方法,所以如果用C#实现Hook,必须采用调用WindowsAPI的方式进行实现。

  WindowsAPI函数属于非托管类型的函数,我们在调用时必须遵循以下几步:

  1、查找包含调用函数的DLL,如User32.dll,Kernel32.dll等。

  2、将该DLL加载到内存中,并注明入口

  3、将所需参数转化为C#存在的类型,如指针对应Intptr,句柄对应int类型等等

  4、调用函数

  我们本篇需要使用的函数有以下几个:

  SetWindowsHookEx     用于安装钩子

  UnhookWindowsHookEx   用于卸载钩子

  CallNextHookEx      执行下一个钩子

  详细API介绍请参考MSDN官方声明

  接下来在C#中需要首先声明此API函数:

[DllImport("user32.dll",CharSet=CharSet.Auto,CallingConvention=CallingConvention.StdCall)]
public static extern int SetWindowsHookEx(int idHook, HookProc lpfn,IntPtr hInstance, int threadId);

[DllImport("user32.dll",CharSet=CharSet.Auto,CallingConvention=CallingConvention.StdCall)]
public static extern bool UnhookWindowsHookEx(int idHook);

[DllImport("user32.dll",CharSet=CharSet.Auto,CallingConvention=CallingConvention.StdCall)]
public static extern int CallNextHookEx(int idHook, int nCode,IntPtr wParam, IntPtr lParam);

 

声明后即可实现调用,SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中,SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时,系统就调用与这个Hook关联的Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个Hook子程需要调用CallNextHookEx函数。 且钩子使用完成后需要调用UnhookWindowsHookEx进行卸载,否则容易影响到其他钩子的执行,并且钩子太多会影响目标进程的正常运行。

  关于实例详细操作过程不再赘述,请参考:http://blog.csdn.net/ensoo/article/details/2045101 及 https://www.cnblogs.com/ceoliujia/archive/2010/05/20/1740217.html

 

 

 

EasyHook

 

  C#本身调用WindowsAPI进行Hook功能受到很大的限制,而C++则不受此限制,因此就有一些聪明的人想到了聪明的方法:使用C++将基本操作封装成库,由C#进行调用,由此诞生了伟大的EasyHook,

最低0.47元/天 解锁文章
天为我蓝
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EasyHook远程代码注入
baggiowangyu的专栏
06-19 2万+
最近一段时间由于使用MinHook的API挂钩不稳定,经常因为挂钩地址错误而导致宿主进程崩溃。听同事介绍了一款智能强大的挂钩引擎EasyHook。它比微软的detours好的一点是它的x64注入支持是免费开源的。不想微软的detours,想搞x64还得购买。     好了,闲话不多说,先下载EasyHook的开发库,当然有兴趣的同学可以下载源码进行学习。下载地址:http://easyhook.
c# easyhook远程注入Hook成员函数
brook0344的专栏
10-24 1188
返回值是什么不知道,只好去Qt5里去查源代码 bool open(const QString& user, const QString& password);Dependencies解码函数名 QSqlDatabase::open(QString const&, QString const&)成员函数就是全局函数,导出名字比较奇怪,调用约定是thiscall,第一个参数是对象this指针。成员函数实际就是全局函数,注意修改名字、调用预定、第一个参数。目标dll必须有导出类,其实就是导出了成员函数。
远程注入的EasyHook
12-28
EasyHook使用中的一种特殊情况: 需要实现这样一个功能,截获打开文件(CreateFile)和获取文件大小(GetFileSize)函数,且在打开文件时需要获取文件的大小,即在HookCreateFile中同时使用CreateFile和GetFileSize。此时问题来了。CreateFile此时调用的是真实的API,而GetFileSize将会调用HookGetFileSize。如果存在更多的函数,必将导致问题。
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModuleName) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModuleName, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
C# Hook原理及EasyHook简易教程
u014712365的博客
10-09 1860
前言   在说C# Hook之前,我们先来说说什么是Hook技术。相信大家都接触过外挂,不管是修改游戏客户端的也好,盗取密码的也罢,它们都是如何实现的呢?   实际上,Windows平台是基于事件驱动机制的,整个系统都是通过消息的传递来实现的。当进程有响应时(包括响应鼠标和键盘事件),则Windows会向应用程序发送一个消息给应用程序的消息队列,应用程序进而从消息队列中取出消息并发送给相应窗口进...
EASYHOOK
Tiany的博客
08-14 225
攻防世界EASYHOOK
easyhook源码分析一
weixin_30616969的博客
09-24 836
easyhook简要说明: easyhook是一个开源的hook库(http://easyhook.github.io/),其支持托管代码(.NET)和非托管代码(C/C++)hook,这里只分析了其非托管下的hook代码,根据目前分析的情况来看,其有如下几个特点: 1.同时支持X86和X64。 2.支持针对不同的线程进行hook,例如可以设置当线程ID为0x1234的线程执行...
攻防世界逆向高手题之EASYHOOK
沐一 · 林 的博客
08-25 2132
攻防世界逆向高手题之EASYHOOK 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的EASYHOOK 这是我第一次遇到HOOK类型的题目,我很是兴奋,我也花了相当长的时间才把该HOOK流程全部弄懂,希望能给日后更多经验。 直接入重点,打开IDA查看main函数,具体分析我写在代码里: sub_401370(aPleaseInputFla); scanf("%31s", input_flag); if ( strlen(input_flag) == 19 ) { sub_4
基于EasyHook实现监控explorer资源管理器文件复制、删除、剪切等操作
weixin_42011520的博客
11-18 6186
一、前言 最近自己在研究一个项目,需要实现对explorer资源管理器文件操作的监控功能,网上找到一些通过C++实现Hookexplorer文件操作的方法,由于本人习惯用.NET开发程序,加之C/C++基础较差,所以一直在研究如何用.NET实现,花了一周多的时间,终于基本实现了通过C# Hook资源管理器文件操作的功能,这里给出一些核心的内容,供大家参考。 二、EasyHook 1.简介...
攻防世界:EasyHook
Lynnette177的博客
09-05 238
先获取writefile这个函数的位置,把这个函数备份下来。然后40C9BC处是个跳转,跳转到401080.之后把BC跳转写到writefile的位置,这样执行到writefile就进入了401080函数。才会是这个程序里用来写文件的函数。然后用40c9b4进行备份,然后把40c9bc写成跳转,后续跳转的地址是401080。401140把40C9B4重新写回来,而这正式我们备份的真正的writefile。按照真正的判断函数,我们重写就可以了,注意要把循环倒过来写。看看401240,是一个假的判断的函数。
easyhook2.5program
09-30
使用VS C++2005时出现一个错误:Project : error PRJ0019: 工具从"正在执行预生成事件...
dll-injection:基于EasyHook的DLL注入示例,可在另一个进程(托管或非托管)的地址空间内运行代码(以.Net编写)
04-29
dll注入 基于EasyHook的DLL注入示例,可在另一个进程(托管或非托管)的地址空间内运行代码(以.Net编写)
EasyHook库的使用
bruce135lee的专栏
08-03 1395
导语### EasyHook的官网,最近在做的项目中,因为要去过滤掉cmd的弹框,所以用到了这个库, 在使用的过程中,遇到了一些坑,然后也解决了一些问题,特再次记录下来,方便自己以后查阅 1.了解#### 首先我查找了网上的相关资料,都查的有点晕了,但有用的就那么几个,其它的就是引用这个几个例子,这样感觉效率不高,后面我还是先参照了官网的例子,才觉得真正对easyhook有了一个全面的了...
EasyHook各种失败的场景
youyudexiaowangzi的专栏
03-03 786
EasyHook的代码示例,使用注意事项和常见的失败场景
EasyHook库系列使用教程之四钩子的启动与停止
i华仔的专栏
10-29 6008
此文的产生花费了大量时间对EasyHook进行深入了解同时参考了大量文档 先来简单比较一下EasyHook与Detour钩取后程序流程 Detours:钩取API函数后,产生两个地址,一个地址对应真Hook函数地址,一个对应真实API地址 EasyHook:钩取API函数后,所有API指向同一地址,通过ACL控制是否跳转到真实API地址
使用 EasyHook 让系统计算器显示文字
wtujoxk的博客
01-05 1157
效果: 我在学习使用EasyHook的时候,遇到一些坑,也慢慢解决了。 我将采用MarshalByRefObject按引用传递和Serializable按值传递这两种方式实现计算器显示文字的效果 这也是对EasyHook学习的一个过程 第一种方式:使用RemoteHooking.IpcConnectClient和RemoteHooking.IpcCreateServer进行传递 Remo...
EasyHook库系列使用教程之二插入钩子接口
i华仔的专栏
01-21 8564
EasyHook钩子库简明使用手册
百钱买百鸡
最新发布
weixin_58566539的博客
04-18 237
百钱买百鸡问题可以使用穷举法解决。我们可以使用三重循环来遍历所有可能的公鸡、母鸡和小鸡的数量,然后判断是否满足题目条件,即总花费不超过100元,并且买到100只鸡。
c语言easy hook
11-18
C语言的Easy Hook是一个用于Windows操作系统的钩子库。钩子是一种在操作系统中捕获和拦截特定事件的技术,Easy Hook便是一个简单易用的工具,用于在C语言中实现钩子功能。 使用Easy Hook,我们可以通过在目标进程中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值