如何看懂c语言的api函数,如何截获API函数

最新推荐文章于 2021-05-25 17:21:59 发布
最新推荐文章于 2021-05-25 17:21:59 发布
阅读量318 收藏 1
点赞数
文章标签: 如何看懂c语言的api函数
本文介绍了如何通过HOOK技术实现对MessageBoxW函数的动态截获,通过PE格式修改API函数地址,展示了在DLL中创建全局鼠标HOOK并实现指定函数替换的过程。适合对Windows API Hook和程序动态修改感兴趣的开发者。
摘要由CSDN通过智能技术生成

我曾经写过一个截获MessageBoxW的程序,可以看看,或许对你有一些帮助.

该程序是基于HOOK原理,主要是将自己的函数放到目标PROCESS的地址空间,这里是使用HOOK实现.首先建立一个MOUSE的HOOK程序,然后在全局鼠标HOOK的DLL中做截获动作,可以在PROCESS_ATTACH时做,也可以在鼠标的HOOK链函数中做.

建立全局HOOK我就不说了,可以在网上很多地方看到.主要是截获动作.我是通过PE格式(使用IMAGE)改变API函数在调用时的地址.DLL部分参考如下代码:

static int WINAPI MyMessageBoxW(HWND hWnd , LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)//自己的MessageBoxW函数

{return MessageBox(hWnd, “TNT”/*lpText*/, “TNT”/*lpCaption*/, uType);

}

我定义了一个结构

typedef struct tag_HOOKAPI

{

LPCSTR szFunc;//待HOOK的API函数名

PROC pNewProc;//新的函数指针

PROC pOldProc;//老的函数指针

}HOOKAPI, *LPHOOKAPI;

extern “C” __declspec(dllexport)PIMAGE_IMPORT_DESCRIPTOR GetNamedImportDescriptor(HMODULE hModule, LPCSTR szImportMod)

{

//首先是DOS头

PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER) hModule;

if(pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE) return NULL;

PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDOSHeader + (DWORD)(pDOSHeader->e_lfanew));

if(pNTHeader->Signature != IMAGE_NT_SIGNATURE) return NULL;

//如果没有Import部分,返回失败

if(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress == 0)

return NULL;

//取Import部分

PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)

((DWORD)pDOSHeader + (DWORD)(pNTHeader->OptionalHeader.

DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress));

//寻找与szImportMod相配部分

while (pImportDesc->Name)

{

PSTR szCurrMod = (PSTR)((DWORD)pDOSHeader + (DWORD)(pImportDesc->Name));

if (stricmp(szCurrMod, szImportMod) == 0)

break; //找到

pImportDesc++;

}

if(pImportDesc->Name == NULL) return NULL;

return pImportDesc;

}

extern “C” __declspec(dllexport) HookAPIByName(HMODULE hModule/*被HOOK的目标进程MODULE*/, LPCSTR szImportMod/*如GDI32.DLL*/,LPHOOKAPI pHookApi/*指定函数名,如”MessageBoxW”*/)

{

PIMAGE_IMPORT_DESCRIPTOR pImportDesc =

GetNamedImportDescriptor(hModule, szImportMod);

if (pImportDesc == NULL)

return FALSE; //需要改换的API不能取到正确描PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((DWORD)hModule + (DWORD)(pImportDesc->OriginalFirstThunk));

PIMAGE_THUNK_DATA pRealThunk =

(PIMAGE_THUNK_DATA)((DWORD)hModule + (DWORD)(pImportDesc->FirstThunk));

while(pOrigThunk->u1.Function)

{

if((pOrigThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG)

{

PIMAGE_IMPORT_BY_NAME pByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)hModule + (DWORD)(pOrigThunk->u1.AddressOfData));

if(pByName->Name[0] == ‘\0′)

return FALSE; //失败

if(strcmpi(pHookApi->szFunc, (char*)pByName->Name) == 0)

{

//改变thunk保护属性

MEMORY_BASIC_INFORMATION mbi_thunk;

VirtualQuery(pRealThunk, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));

VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize, PAGE_READWRITE, &mbi_thunk.Protect);

//保存原来的API函数指针

if(pHookApi->pOldProc == NULL)

pHookApi->pOldProc = (PROC)pRealThunk->u1.Function;

//改变API函数指针

pRealThunk->u1.Function = (PDWORD)pHookApi->pNewProc;

//将thunk保护属性改回来

DWORD dwOldProtect;

VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize,

mbi_thunk.Protect, &dwOldProtect);

}

}

pOrigThunk++;

pRealThunk++;

}

SetLastError(ERROR_SUCCESS);

return TRUE;

}

EXE部分很简单,将该DLL载入,开启鼠标HOOK.

故事硬核
关注
c语言api文档_如何快速访问您喜欢的语言的API文档
08-10 424
c语言api文档It’s no surprise that you may need to work with different programming languages, or at least use many methods. You may not be sure how to call a method, how many parameters it has, or what typ...
想在你的程序中截住API函数吗?那就快看吧!
uaiia的专栏
01-18 795
在你的程序中做一个函数func(...) 调用 func1 = ApiSpy(NULL,"GDI32.DLL","TextOutA",(PROC)func)那么你的程序没次调用TextOut时,就会调用func 为了不破坏原有功能请在func中调用func1。如果想截获整个系统的api,你需要做一个全局HOOKHOOK的DLL里的初始化时调用本函数。主要代码如下:PROC W
如何查看c语言api文档,如何查阅api文档
weixin_28847199的博客
05-20 721
今天来谈谈如何查阅文档,应该也适合于其它javascript引擎。为什么要自己查阅文档?文档是你应该查阅的第一手资料,从别人教程上读来的某个对象、属性、方法的用法,会让你感觉自己会了,但是没有提到的那些呢?而且不同的教程里讲解也是深浅不一。所以请坚定一个信念,就是官方的文档应该是你的第一手资料。看不英文?(●'◡'●),这个已经不是个难题了,之前读到的新闻里说到翻译大赛上有道翻译已经超过了谷歌翻...
截获API
weixin_33810302的博客
03-25 265
截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。 首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明 如下: HHOOK SetWindowsHookEx( int idHook, // hook type HOOKPROC lpfn, // h...
C语言API函数
rongxy_的博客
05-25 633
C语言API函数 字符指针的初始化--memset函数 char *strDest; //字符指针无法存放字符串,只能指向一个字符串的起始地址。 strDest =(*char)malloc(128); //开辟128个字节空间 分配的空间要及时释放,否则会造成内存泄漏问题。 if(strDest==NULL) //malloc申请空间可能会失败 { ...
C和C++API中文帮助文档可搜索版.CHM版_C语言API函数大全语法着色版.CHM版
04-03
还有这本“C语言API函数大全语法着色版.chm”也就是C语言函数的应用代码举例,网上也有很多这样的版本,但本版是着色的,也就是就像笔记本“EmEditor”的着色情况一样,很好看的。 祝下载的朋友用起来都说好。
C++Api文件、中文参考收手册、函数大全、c语言查询.chm
04-16
C++Api文件、中文参考收手册、函数大全、c语言查询.chm.C++Api文件、中文参考收手册、函数大全、c语言查询.chmC++Api文件、中文参考收手册、函数大全、c语言查询.chmC++Api文件、中文参考收手册、函数大全、c语言...
TC api文档.rar_C语言标准函数库中malloc_TC_api文档_c 函数库_c语言函数
最新发布
09-20
C语言编程中,标准函数库是一组预定义的函数,程序员可以调用它们来执行常见的任务,如内存管理、输入/输出操作、数学运算等。`malloc()`函数C语言标准函数库中的一个关键部分,它属于内存管理领域,用于动态...
MySQL的C语言API接口
12-31
1、首先当然是连接数据库,函数原型如下: MYSQL * STDCALL mysql_real_connect(MYSQL *mysql, const char *host, const char *user, const char *passwd, const char *db, unsigned int port, const char *unix_...
C和C语言API
11-16
C语言APIC语言的核心部分,它包含了大量预定义的函数和类型,这些函数和类型构成了C语言的标准库。例如,stdio.h头文件包含了输入输出相关的函数,如printf和scanf;stdlib.h提供了基本的内存管理和数学操作,如...
API详解及C语言函数汇总
10-17
该数据包包括MFC API,WIN32 API以及C语言函数全集。对软件编程人员来说是非常不错的帮助工具。该数据包解压后有三个chm格式的文件,分别是:MFC API.chm、WIN32 API.chm、C语言函数大全.chm。由于都是chm格式文件,方便大家查找所需函数,非常方便。
api hook原理
12-22
api hook原理,讲得详细,可以参考下.
APIhook实现数据包截获
07-15
可以选择指定的进程进行数据包截获,完整的代码,网上唯一
C语言API函数大全(转载)
nanguol的博客
05-24 5053
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/u010258235/article/details/45666851 收起 转载作者An_angel_of_joy的文章以供自学和参考,文章非常全,在此感谢如此有耐心的作者。 fopen(打开文件) 相关函数 open,fclose 表头文件 #include<stdio.h> 定义函数 FILE * fopen(const char
api函数 c语言编程,windows编程之API函数—GetLocalTime()
weixin_33210666的博客
05-23 546
Windows API 函数函数功能:该函数用来获取当地的当前系统日期和时间。函数原型:VOID GetLocalTime(LPSYSTEMTIMElpSystemTime//address of system times structure);参数说明:lpSystemTime: 指向一个用户自定义包含日期和时间信息的类型为 SYSTEMTIME 的变量,该变量用来保存函数获取的时间信息。此函...
MySQL笔记11:C语言编程API函数和完整实例演示!
魏波
08-14 948
MYSQL C语言API函数全列表
一路走来@嵌入式
08-26 4613
详细用法参考MYSQL参考手册  1.mysql_affected_rows() //返回上次UPDATE、DELETE或INSERT查询更改/删除/插入的行数。  2.mysql_autocommit() //切换 autocommit模式,ON/OFF。  3.mysql_change_user()
C中 常用的API函数
wuwuku123的博客
12-25 1123
一、gotoxy(): 引用百度文库中对coord的解释说: COORD是Windows API中定义的一种结构,表示一个字符在控制台屏幕上的坐标。其定义为: typedef struct _COORD { SHORT X; // horizontal coordinate SHORT Y; // vertical coordinate } COORD; // 光标移动 voi...
MySQL的C语言API功能介绍
Interesting1001的博客
06-05 711
函数:mysql_library_init() 功能:初始化MYSQL数据库。 函数:mysql_connect()  功能:连接一个MySQL服务器。 函数:mysql_init()  功能:获得或初始化一个MYSQL结构。   函数:mysql_change_user()  功能:改变在一个打开的连接上的用户和数据库。   函数:mysql_
C语言API函数集:网络、消息与文件操作详解
本文档详细介绍了C语言中的API函数集,涵盖了三个主要部分:网络函数、消息函数和文件处理函数。这些API提供了丰富的功能,对于网络编程、窗口消息管理和文件操作具有关键作用。 1. **网络函数**: - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值