内联挂钩API

最新推荐文章于 2022-09-29 19:02:28 发布
最新推荐文章于 2022-09-29 19:02:28 发布
阅读量143 收藏
点赞数
原文链接:http://www.cnblogs.com/fangkm/archive/2009/08/28/1555912.html
版权

内联挂钩API原理在于用JMP指令替换目标函数地址的前几个字节,当程序运行到这里就JMP到自己的函数中.需要注意的是自己的函数和目标函数的调用规范、参数、返回值都要一致以保持堆栈平衡.

/*
* 通过修改函数开始的指令,使函数执行跳到指定函数来达到拦截API的目的
* 跳转的新函数的调用规范必须和要拦截的函数一致
 */
class   CAPIHook
{
 private :
    BOOL  m_bAllowHook;   // 是否允许拦截
    PROC  m_pfnOld;    // 保存要替换的函数地址
    BYTE   m_byNew[ 8 ];   // 保存替换前8个字节的值
    BYTE   m_byOld[ 8 ];     // 保存替换前的函数前8个字节

    BOOL  InitHookData( PROC pfnOld, PROC pfnNew )
    {
        ATLASSERT( ( pfnOld  !=  NULL )  &&  ( pfnNew  !=  NULL ) );

         //  mov eax, [新地址]             --机器码为: B8  [地址值]
         //  jmp  eax                             --机器码为: FF E0
        BYTE  byNew[ 8 ]   =   {  0xB8 0x00 0x00 0x00 0x00 0xFF 0xE0 0x00  };
        memcpy( m_byNew, byNew, _countof( byNew ) );  
         * (DWORD * )( m_byNew  +   1  )   =   (DWORD)pfnNew;   // 将新函数地址填充到2、3、4、5字节

        m_pfnOld   =   pfnOld;
         if ( m_pfnOld  ==  NULL )
             return  FALSE;

        memcpy( m_byOld, m_pfnOld, _countof(m_byOld) );

         return  TRUE;
    }

 public :
    CAPIHook()
    {
        m_bAllowHook   =   FALSE;
    }

    CAPIHook( PROC pfnOld,  PROC pfnNew )
    {
         this -> HookAPI( pfnOld, pfnNew );
    }

    CAPIHook( LPCTSTR lpszModName, LPCSTR lpszFunName, PROC pfnNew )
    {
         this -> HookAPI( lpszModName, lpszFunName, pfnNew );
    }

     /*
    * 拦截API,传入要拦截的源函数地址和自指定的函数地址
    * pfnOld:源函数地址
    * pfnNew:自指定的函数地址
     */
    BOOL  HookAPI( PROC pfnOld,  PROC pfnNew )
    {
         return  m_bAllowHook   =    this -> InitHookData( pfnOld, pfnNew );
    }

     /*
    * 拦截API,传入要拦截的源函数的模块句柄和函数名称和自指定的函数地址
    * lpszModName:源函数所在的模块句柄
    * lpszFunName:源函数名称
    * pfnNew:自指定的函数地址
     */
    BOOL  HookAPI(  LPCTSTR lpszModName, LPCSTR lpszFunName, PROC pfnNew  )
    {
        HMODULE  hMod   =   ::GetModuleHandle( lpszModName ) ;
         if ( hMod  ==  NULL )
            hMod   =   ::LoadLibrary( lpszModName );

         if ( hMod  ==  NULL )
             return   m_bAllowHook  =  FALSE;

        PROC  pfnOld   =   (PROC)::GetProcAddress( hMod, lpszFunName );
         if ( pfnOld  !=  NULL )
        {
             return   m_bAllowHook   =    this -> InitHookData( pfnOld, pfnNew );
        }
    }

     /*
    *  拦截,用构造好的JMP指令替换函数开始处的几个字节
     */
    BOOL  StartHook()
    {
         if ! m_bAllowHook )
             return  FALSE;

         // 首先修改虚拟内存属性,使之可读写,之后再把跳转指令写入
        DWORD  dwOldProtect( 0 );
        BOOL  bRet  =  ::VirtualProtect( (LPVOID)m_pfnOld,  _countof(m_byOld), PAGE_READWRITE,  & dwOldProtect );
        bRet   =   bRet  &&  ::WriteProcessMemory( ::GetCurrentProcess(), (LPVOID)m_pfnOld, m_byNew,  _countof(m_byNew), NULL );
        bRet   =   bRet  &&  ::VirtualProtect( (LPVOID)m_pfnOld,  _countof(m_byOld), dwOldProtect, NULL );
         return  bRet;
    }

     /*
    * 取消拦截,还原函数开始处被替换的字节
     */
    BOOL  StopHook()
    {
         if ! m_bAllowHook )
             return  FALSE;

         // 首先修改虚拟内存属性,使之可读写,之后再把恢复指令写入
        DWORD  dwOldProtect( 0 );
        BOOL  bRet  =  ::VirtualProtect( (LPVOID)m_pfnOld,  _countof(m_byOld), PAGE_READWRITE,  & dwOldProtect );
        bRet   =   bRet  &&  ::WriteProcessMemory( ::GetCurrentProcess(), (LPVOID)m_pfnOld, m_byOld,  _countof(m_byOld), NULL );
        bRet   =   bRet  &&  ::VirtualProtect( (LPVOID)m_pfnOld,  _countof(m_byOld), dwOldProtect, NULL );
         return  bRet;
    }
};

挂接示例:

int  WINAPI MyMessageBoxA(  HWND hWnd,   LPCTSTR lpText,   LPCTSTR lpCaption,   UINT uType );

CAPIHook  apiHook( (PROC)MessageBoxA, (PROC)MyMessageBoxA );
apiHook.StartHook();

 int  WINAPI MyMessageBoxA(  HWND hWnd,   LPCSTR lpText,   LPCSTR lpCaption,   UINT uType )
{
    CString str;
    str.Format( " fangkm_%s " , lpText );
    apiHook.StopHook();
     int  nRet  =  MessageBoxA( hWnd, str, lpCaption, uType);
    apiHook.StartHook();
     return  nRet;
}

 

转载于:https://www.cnblogs.com/fangkm/archive/2009/08/28/1555912.html

weixin_30633405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOOK钩子技术1 inline HOOK内联钩子
Catch me if you can
05-02 4397
内联钩子改变函数的第一条指令,通过跳板跳到伪造的函数上。 函数在使用过程中有时候要执行本身已经挂钩的函数,这样就需要先解钩。
Win32 程序的API内联与Hook
不会写代码的丝丽
11-13 1149
概述 我们有一个程序比较简单界面如下: 我们点击中间的按钮会弹出一个MessageBox 如下图所示 为方便学习这个原始程序我这里也用汇编编写 .386 .model flat, stdcall ;32 bit memory model option casemap :none ;case sensitive include dlgApp.inc .data g_szTitle db "myTitle",0 .code start: invoke GetModuleHandle,NULL
9.3 挂钩API技术(HOOK API
qq_36314864的博客
09-29 2740
9.3 挂钩API技术(HOOK API
hook任意api的函数
04-15
hook任意函数,可用于防外挂等安全领域,是封号的代码,开源
C/C++:Windows编程—Inline Hook内联钩子(上)
重庆李四
06-10 4363
前言 先介绍下Windows中的Hook技术。Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。Windows中的Hook技术的方法较多,常见的有Inline Hook、IAT Hook、EAT Hook ...
64-bits-inline-hook:内联挂钩PsLookupProcessByProcessId
04-29
本文将详细介绍64位内联挂钩的概念,以及如何利用C语言实现对Windows API函数`PsLookupProcessByProcessId`的内联挂钩。 首先,理解内联挂钩的基本原理。内联挂钩是在目标函数执行前或执行后插入自定义代码,以改变...
MinHook.NET:MinHook API挂钩库的AC#端口
04-01
该库具有内联挂钩本机API调用的功能,它利用.NET委托来处理绕道和原始功能(通常用绕道来调用)。 该项目试图保持原始MinHook库的简化精神。快速开始演示如何挂接MessageBoxW Windows API的简单示例 [ DllImport ( ...
HookApi:挂钩x86或x64 API的便捷方法
04-29
该库提供了一种类型安全和线程安全的方式来内联挂钩API或函数。 以下示例显示了如何将Windows API与调用原始API的手写API挂钩。 int __stdcall MyMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT ...
And64InlineHook:适用于Android CC ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩
04-30
And64InlineHook是一个专为Android平台设计的轻量级库,主要针对C/C++开发者,用于实现ARMv8-A架构(ARM64或AArch64,Little-Endian字节序)的内联挂钩功能。这个库允许开发人员在运行时修改已编译的二进制代码的...
TeamViewer_Permissions_Hook_V1:可注入C ++ dll的概念证明,它使用裸露的内联挂钩和直接内存修改来更改您的TeamViewer权限
02-02
内联挂钩是一种在不使用传统的API钩子(如SetWindowsHookEx)的情况下,直接替换函数调用代码的技术。它通过在原函数入口处插入跳转指令来实现。本项目中,开发者可能使用了这种方法来替换TeamViewer中与权限相关的...
Delphi+内联汇编,hookapi经典之作编译后7.5k
09-17
代码采用delphi内联汇编的编写方式,hookApi技术的经典之作,并且运用DELPHI mini编译技术,完整功能的dll不超过8k,一切最精简最高效的delphi编程技术,展现delphi汇编编程的魅力。
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
windows下的内联hook实现
其疾如风 其徐如林 侵略如火 不动如山
05-19 6250
HOOK技术正如其名,就像是代码中放下的一个“钩子”,它在静静地等待捕获系统中的某个消息或动作。在编程技术中,钩子技术在DOS时代就已经存在了。在windows下,钩子按照实现技术的不同和挂钩位置的不同,其种类也是越来越多,但是设置钩子的本质却是始终不变的。 那么钩子究竟有什么用?它能干的事非常多,例如输入监控、API拦截、消息捕获、改变程序执行流程等。杀毒软件会用HOOK技术钩住一些API函数
HOOK钩子技术2 内联钩子Inline HOOK 通过DLL注入
Catch me if you can
05-02 2237
dll注入很有意思,它最大的优势在于一旦这个dll被注入,就可以访问宿主程序整个内存空间。因此直接的操作dll是可以达到间接操作目标宿主程序的作用。这次继续使用CILHook类,不过这次是在目标程序内使用,而不是像1一样自己跟自己玩。
前端调用接口(api) 注意事项 && 调用接口(api)报错如何处理
qq_45327886的博客
09-27 1万+
调用接口(api)报错 前端接口调用注意事项
matlab下载.pdf
最新发布
07-14
matlab下载下载方式及注意事项
Android系统原理及开发要点详解-从入门到精通
07-13
Android系统原理及开发要点详解 Java4 Android视频教程 Android开发视频教学 从入门到精通 Android的软件管理器的开发教程视频 Android深入浅出_Android高端课程分享试听 JavaWeb Android系统的手机防盗软件的实现 Android开发入门与实战随书视频 视频列表.txt 0.0MB 开发入门与实战代码.rar 6.1MB 第9章 我来“广播”你的“意图”——Intent和Broadcast面对面.wmv 15.1MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-2.wmv 0.6MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-1.wmv 24.3MB 第8章 移动信息仓库——Android的数据存储操作之Android数据存储概述.wmv 57.7MB 第7章 良好的学习开端——Android基本组件介绍之友好地互动交流——对话框(Dialog)介绍与实例-2.wmv 7.
antd离线API速查表.pdf
11-01
antd离线API速查表

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值