关于RegisterUserApiHook

最新推荐文章于 2022-08-09 15:54:04 发布
最新推荐文章于 2022-08-09 15:54:04 发布
阅读量192 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/lifeengines/archive/2007/07/23/828814.html
版权
前两天研究了一下一个主题软件,发现的这个未公开的函数,并分析了一下,这个函数的功能是向user32.dll注册一个回调函数,这个函数在程序启动的时候会回掉,可以用于DLL注入,这个函数的原形指针定义如下
在XP中,这个函数有两个参数,第一个参数是模块基址,第二个参数是回调函数地址,
typedef DWORD (CALLBACK * USERAPIHOOKPROC)(HINSTANCE hInstance, FARPROC *fnUserApis);
typedef DWORD (WINAPI * SYS_RegisterUserApiHookXP)(HINSTANCE hInstance, USERAPIHOOKPROC fnUserApiHook);
但是在windows 5.1版本后,也就是win2003开始,这个函数的参数开始变化了,结构大概如下
typedef struct _REGISTERUSERAPIHOOK2003
{
 DWORD m_size;
 LPCWSTR m_dllname1;
 LPCWSTR m_funname1;
 LPCWSTR m_dllname2;
 LPCWSTR m_funname2;
}REGISTERUSERAPIHOOK2003,*PREGISTERUSERAPIHOOK2003;

typedef DWORD (WINAPI * SYS_RegisterUserApiHook2003)(PREGISTERUSERAPIHOOK2003);
这次不在需要给出函数地址,而是设置函数名称,m_size是这个结构大小,共14字节.其他4个字串我并没有研究详细用途,只知道大概用法如下
     REGISTERUSERAPIHOOK2003 pRegInfo2003;
     pRegInfo2003.m_size = sizeof(REGISTERUSERAPIHOOK2003);
     pRegInfo2003.m_dllname1 =L"wbtest.dll";
     pRegInfo2003.m_funname1 = L"User32CallBack";
     pRegInfo2003.m_dllname2 = L"wbtest.dll";
     pRegInfo2003.m_funname2 = L"User32CallBack";
这样每个程序启动,只要调用到了user32.dll,那么系统会尝试装入指定dll和函数.和键盘钩子类似,这个函数是以进程为宿主的,也就是如果注册这个函数的进程关闭了,那么系统会自动注销这个注册.当然也可以手工调用UnregisterUserApiHook来取消注册,原形指针如下:
typedef BOOL (WINAPI *  SYS_UnregisterUserApiHook)(VOID);

转载于:https://www.cnblogs.com/lifeengines/archive/2007/07/23/828814.html

weixin_34199405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
APIHOOK应用.rar
04-04
APIHOOK应用.rar
javaweb---用户简单注册激活过程,含serlvet代码
Fire_Sky_Ho的博客
04-27 2444
大致流程 前台点击注册时——>提交表单——>转到后台(registerUserServlet)——>验证码判断——>正确——> 执行注册方法(发送了激活邮件)——>跳转到注册成功页面——>提示去邮箱激活——>点击激活——>激活成功,跳转到登录页面 一、执行注册方法(registerUser(User u...
用户登录注册的小demo
qq_40670251的博客
08-09 576
1. 登录流程说明:1. 用户填写用户名密码,提交到LoginServlet2. 在LoginServlet中使用MyBatis查询数据库,验证用户名密码是否正确3. 如果正确,响应“登录成功”,如果错误,响应“登录失败”2. 注册流程说明1. 用户填写用户名、密码等信息,点击注册按钮,提交到RegisterServlet2. 在RegisterServlet中使用MyBatis保存数据3. 保存前,需要判断用户名是否已经存在:根据用户名查询数据库。...
Ring3下Dll注入方法整理汇总
weixin_33834628的博客
12-16 296
1.dll劫持,粗略整理了下,可以劫持的dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载, 不过可以将lpk.dll加入ExcludeFromKnown...
拦截中文输法 并修改中文输入法 钩子 DLL 源码
10-14
全局钩子 中文 输入法 拦截 DLL DLL注入、输入法与键盘HOOK
RegisterUserApiHook.rar_钩子与API截获_Visual_Basic_
08-11
`RegisterUserApiHook`是Windows API中一个不公开的函数,通常用于设置用户级别的API钩子,它可以帮助开发者拦截和修改特定API的调用行为。 这篇教程“5-拦截并修改输入法(使用未公开函数RegisterUserApiHook)...
利用输入法注入DLL
05-19
关于此函数的示例代码,请参见压缩 包中的第5个文件夹。 最后的最后,再介绍一个未公开函数InitializeLpkHooks,这个函数在网上能找到的资料更 少,只有一个声明而已。但是它名称中最后那个“Hooks”误导了我,我...
使用HOOK拦截任务管理器中直接杀进程的消息
05-08
这是本人在网上搜索到的资料,跟大家分享,感谢那个提供源码的网友. 大家都知道,在任务管理器进程标签中直接杀进程,是直接杀,不交给用户处理.很多人都在为了防止自己的进程被误杀而苦苦思索,但是一般的拦截消息的方法又几乎都不管用. 在这里,给大家一个Delphi的源码,使用HOOK进行拦截处理任务管理器来实现. 在附件的文档中包含了源码,共分为两个部分:exe测试部分,Dll部分(HookDll,unithook). 我已经亲自编译测试过,可以实现拦截任务管理器的消息. 再次感谢那个网友(没有记住名...)! PS:附件中的Word是使用Office2010保存的docx格式,如果您不能打开我这个文档,可以在我的资源目录下找这个补丁安装上就可以了. FileFormatConverters_Office_doc_to_docx 这个是微软提供的,可以使Office2003等早期版本打开新的docx格式文档. 感谢大家光临!
经典的就要转载:另类DLL注入法
oneVs1的专栏
06-24 5714
输入法注入[转帖]<br />百度搜来的。论述比较详细,不过我还没搞懂!就原文贴一下了! +Y(cs&V*  <br />----------------------------------------------------------------------------------------------以下是原文 a#FkoA~M  <br />Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码) mk_cub@  <br />W%b<(T;  <br />:s+AIo6
精品!
Sunny_wwc的专栏
10-24 894
仿照了下360 的过滤架构,搭建了个Hook 框架,360的Hook架构的确很优秀,我觉得很值得我们学习与研究。这里我按照大牛们已经逆向出来的思路实现了下代码(都逆向出来了坐下代码工作不会怎么样吧?….只是学习架构)。不要鄙视我等代码工………,好吧大牛们想BS就BS吧,我表示毫无压力~~~~,我是菜鸟我怕谁! 废话不多说发代码,如果有错误和白痴的地方请指出,我水平有限……. 搭建这个架构大致需要以下几个模块,一是安装KiFastCallEntry的Hook模块,二是FakeKiFastCallEnt
一种注入进程,获得完全操控的方法之二
04-15 996
作 者: menting时 间: 2007-12-12,16:50链 接: http://bbs.pediy.com/showthread.php?t=56442看到了我的之一,我想大家会很清楚,因为这个方法的最大的BUG就是在回调函数之后来处理,如果前面已经处理了,那么我们就无法处理了。而且又要修改系统DLL,比较不完美。我最近又发现了两种方法:  一、修改RegisterClassA:  相对
自实现API, 过所有用户层HOOK
收集学习过程中对自己有帮助的牛人文章
12-10 1685
//绕过用户层HOOK,自实现API函数 //学习了郁金香驱动教学视频 043_绕过所有用户层HOOK(郁金香绕过的是FindWindow) //用相同的原理我实现了绕过SendMessageA() //实现过程中有一些感谢一并记录 //win xp x86 //__declspec(naked)作用: 生成纯汇编 #include #include //7C92E4F0 > 8BD4
API Hook基本原理和实现
创世元年
11-13 1413
 API Hook基本原理和实现[图文] hook是什么?     windows系统下的编程,消息message的传递是贯穿其始终的。这个消息我们可以简单理解为一个有特定意义的整数,正如我们看过的老故事片中的“长江长江,我是黄河”一个含义。windows中定义的消息给初学者的印象似乎是“不计其数”的,常见的一部分消息在winuser.h头文件中定义。hook与消息有着非常密切的联系,它的
API Hook的实现
Buffalo's Blog
10-11 1699
一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是机器指令(听上去真是有点恐怖,不过这是事实)。当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了一种比较
通过API HOOK 创建SYSTEM用户进程
chenhui530的专栏
12-13 5586
  clsHookInfo.clsVERSION 1.0 CLASSBEGIN  MultiUse = -1  True  Persistable = 0  NotPersistable  DataBindingBehavior = 0  vbNone  DataSourceBehavior  = 0  vbNone  MTSTransactionMode  = 0  NotAn
Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码)
Jingle的专栏
07-11 2637
2009-08-16 13:41:30  www.hackbase.com  来源:YPN电脑技术支持工作室     Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码) 注入DLL是做全局钩子或者拦截类软件都有可能用到的技术,如果做外挂的话我们也有可能需要注入一个DLL到游戏进程中去干点什么“坏事”。 但我们知道现在 ...     Ring3下注入DLL的另类方法,能过杀软和游
CVE2015-0057漏洞样本构造探索
weixin_33852020的博客
03-08 304
cssembly · 2015/02/15 10:150x00 前言微软最新的补丁包修补了CVE2015-0057的提权漏洞,同一天,漏洞的发现者发表了分析文章《One-Bit To Rule Them All: Bypassing Windows’ 10 Protections using a Single Bit》,看完文章,想尝试构造一下样本,原本以为很简单,结果期间遇到了几个问题,分享出来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值