Windows上的InlineHook学习

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量255 收藏 1
点赞数
原文链接:https://segmentfault.com/a/1190000016852735
版权

简单Demo

原理介绍
InlineHook 的原理非常简单,举个栗子方便阐述:函数 func1() 是原始函数,函数 func2() 是挂钩在 func1() 的函数!我们将函数 func1() 的前几个字节修改为 jmp func2,此时调用 func1() 的时候就会跳转到 func2(),简言之就是将被hook函数前五个字节修改为jmp xxx

简单Demo代码

#include <stdio.h>
#include <windows.h>
 
void func1(){
    printf("HelloWorld!\n");
}

void func2(){
    printf("InlineHook Success!\n");
}
 
int main(int argc, char* argv[]){
    func1();
    DWORD dwOldProtect,dwNewProtect,dwWritten = 0;
    LPVOID originalFunc = func1,hookFunc = func2; // LPVOID=PVOID=void *
    if(VirtualProtect(originalFunc,5,PAGE_EXECUTE_READWRITE,&dwOldProtect)){
        HANDLE handle0 = GetCurrentProcess();
        BYTE shellCode[5] = {0};
        shellCode[0] = 0xe9; // jmp offset
        *((DWORD *)(&shellCode[1])) = (DWORD)hookFunc - (DWORD)originalFunc - 5; // hookAddr-originAddr-5
        if (WriteProcessMemory(handle0,originalFunc,shellCode,5,&dwWritten) && dwWritten == 5){
            printf("Write OK!\n");
        }
        CloseHandle(handle0);
    }
    VirtualProtect(originalFunc,5,dwOldProtect,&dwNewProtect);
    func1();
    getchar();
    return 0;
}

运行结果

注意事项
要使用 gcc Inlinehook.c -m32 -o hook2.exe 编译成 32 位程序,编译成 64 位程序会有很多警告但是不影响运行,原因是:64位程序的变量长度与32位程序有所区别,在强制类型转换时会弹出类型长度不匹配的警告,也可以自行修改类型后编译成 64 位程序

进阶Demo

待续...

END

weixin_34232617
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C语言playsoundw函数,使用inline hook实现修改PC微信通知铃声-哥哥微信来了
weixin_42351910的博客
05-23 407
本帖最后由 bester 于 2020-2-15 01:20 编辑原贴:https://www.52pojie.cn/thread-1103441-1-1.html最近频繁刷某音刷到哥哥微信来了的铃声,刚好今天2.14大家云恋爱,我等单身狗只能舔屏,前几日看到楼主这篇帖子修改了PC微信的提示音,同时楼主也提出了一个缺陷,就是文件大小有限制,不能超过256kb我个人的理解就是原提示音89.8 KB ...
Windows系统编程】05.内存操作与InlineHook(详解InlineHook实现)
最新发布
WdIg-2023的博客
08-17 368
内存相关操作,InlineHook实现详解
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 1618
WindowsInline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
Hook攻防之InlineHook
xf555er的博客
06-16 1569
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
Inline Hook基础篇】框架搭建
Fzuim的博客
07-31 1460
Windows程序员对于HOOK技术应该都很熟悉,HOOK俗称:钩子。即将自己想实现的功能,挂钩到系统的函数上,达到调用系统的函数时能自动执行我们实现的功能。 对于HOOK,也分为:消息钩子,API钩子,内核钩子。消息钩子和API钩子都是在应用层(Ring3)上实现,内核钩子则是在内核层(Ring0)上实现的。此次开篇,逐重讨论下Inline Hook的实现方式,Inline Hook也是AP...
Windows Inline Hook Demo
12-16
总的来说,"Windows Ring0 Inline Hook 演示程序"提供了一个实践和学习如何在内核层面上进行代码注入的平台。通过对"MyDriver"的分析和调试,我们可以深入理解Windows内核的工作机制,以及Inline Hook技术在系统监控...
inline hook 源码
11-14
本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构上的差异,同时也会提及它在Linux和Windows操作系统中的应用。 首先,理解**inline hook**的概念至关重要。它是一种代码注入技术,通过在目标函数...
如何区分ssdt hookinline hook钩子
01-25
3. "inline HOOK和SSDT HOOK各自有啥特性的哦-_百度知道":这是一个问答平台上的问题,可能包含了两者之间的特性对比和讨论。 4. "2 inline hook" 和 "1 ssdt hook":这两个文件名可能是其他相关的文档或教程,可能...
一个简单的inline hook
07-27
Windows平台,常常使用API Hook,如Detours库,但实现inline hook通常需要更低层次的编程。以下是一般步骤: 1. **获取函数地址**: 使用`GetProcAddress`函数从DLL中获取目标函数的地址。 2. **创建钩子函数**: ...
Vb6 InLineHook(通用版)
03-11
总的来说,Vb6 InLineHook是一个用于Windows API监控和篡改的工具,它的源码提供了一次深入学习API Hook机制的机会,特别是对于那些希望在Vb6环境中进行系统级操作的开发者来说。同时,其跨平台兼容性确保了它可以在...
微信2018最新hook 版本:2.6.3.78
10-10
本源码是用易语言编写,有史以来功能最全的微信hook源码之一!
R3 WIN64下只修改1字节的Inline Hook完整代码(C/C++)
02-19
基于SEH的R3 WIN64下只修改1字节的Inline Hook完整代码 此代码在Visual Studio 2013编译通过,为了不链接到msvcr120.dll,我在工程中添加了链接至msvcrt.dll的静态库
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4506
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
C/C++:Windows编程—Inline Hook内联钩子(下)
重庆李四
06-10 1671
前言 在上节中介绍了 InlineHook 钩子函数,主要是通过jmp 目标地址(转为机器码E9 偏移量) 来实现的,是修改被Hook函数首地址处的 5个字节的内容。这里再介绍另一种方法,修改被Hook函数首地址处的7字节的内容。我们看下图的汇编指令 之前是jmp 目标地址(5字节),这次是将目标地址放到 eax寄存器中 这里是2条汇编指令(00B417E4-00B417DF = 7字节)。他们...
C/C++:Windows编程—Inline Hook内联钩子(上)
重庆李四
06-10 4358
前言 先介绍下Windows中的Hook技术。HookWindows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。Windows中的Hook技术的方法较多,常见的有Inline Hook、IAT Hook、EAT Hook ...
Inline Hook
weixin_44711063的博客
03-11 2669
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hookinline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
win7和win10下的dll远程注入代码和inline hook 进程隐藏
Yvan Jiang的专栏
09-06 3004
win7和win10远程注入dll的代码不通用,归纳代码如下 判断当前系统类型: DWORD checkOS() { OSVERSIONINFO os_version; os_version.dwOSVersionInfoSize = sizeof(os_version); if (GetVersionEx(&os_version)) { if (os_version...
inline hook的原理及实现
Qiu233的博客
08-06 8224
网上没有找到多少关于inline hook的文章,感觉这方面资料不是很完整,所以决定自己写一份存档,重点讲述inline hook的实现。 inline hook的核心思想是:通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域,执行完毕跳转回到原来的函数,跳转到的指令区域通常是我们自己编写的函数inline hook技术对于编写外挂和外挂式补丁意义重大。 步骤: 1.使用Vir
【娱乐】R3 WIN64下只修改1字节的Inline Hook
A--LONE--LY的博客
02-19 398
这是我写的第一篇博文,作为新手,文章可能会存在某些错误,因此文章仅供参考,请多包涵! WIN64下的Inline Hook想必大家都面临着同一个问题,多线程环境造成的不稳定性。 某天我突发奇想,写出了一个只修改一字节的Inline Hook! 在此之前我们先看看别的博主对x64 Inline Hook的优化和改进 zuishikonghuan博主的解决方案是这样 他创建了一个文件映射对象,将被Ho...
windows inline hook是什么
07-14
Windows Inline Hook(内联钩子)是一种机制,用于在Windows操作系统中拦截和修改函数调用的行为。它常用于进行系统级别的函数调用监控、行为修改或扩展等操作。 内联钩子技术通过在目标函数的二进制代码中插入一段...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值