HOOK---IATHook

已于 2024-05-10 16:39:50 修改
阅读量210 收藏
点赞数 1
分类专栏: HOOK 文章标签: windows c++
于 2024-05-10 16:24:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48257887/article/details/138671285
版权

需要注意的是:因为IAT具体指某个PE模块的IAT,所以他的作用范围只针对被Hook的模块,且必须在以静态链接的方式调用API时才会被Hook,所以它的作用范围只针对被Hook的模块,且必须以静态链接的方式调用API时才会被Hook(比如你要HOOK“messagebox”,那么这个函数必须在模块里面被使用过,才能Hook成功),在使用Loadlibrary或GetProcAddress进行动态调用时不受影响。要想对已加载的所有模块起作用,就必须遍历进程内的所有模块,对目标API进行Hook。

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <Windows.h>
#include <stdio.h>

typedef int (WINAPI* oldMessageBoxA)(
    _In_opt_ HWND hWnd,
    _In_opt_ LPCSTR lpText,
    _In_opt_ LPCSTR lpCaption,
    _In_ UINT uType);
oldMessageBoxA oldFun = NULL;

int WINAPI MyMessageBoxA(
    _In_opt_ HWND hWnd,
    _In_opt_ LPCSTR lpText,
    _In_opt_ LPCSTR lpCaption,
    _In_ UINT uType) 
{
    return oldFun(hWnd,"HOOK成功","HOOK成功", uType);
}

BOOL IATHook(const char* MoudleName, const char* FunName)
{
    oldFun = (oldMessageBoxA)GetProcAddress(GetModuleHandleA(MoudleName), FunName);//源函数地址
    if (!oldFun)
    {
        return FALSE;
    }
    HMODULE mMoudle = GetModuleHandle(NULL);//获取了主模块的起始地址
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)mMoudle;//获取Dos头
    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((DWORD)mMoudle + pDos->e_lfanew);//获取NT头
    PIMAGE_OPTIONAL_HEADER pOh = (PIMAGE_OPTIONAL_HEADER)&(pNt->OptionalHeader);//获取可选头
    DWORD ImportRVA = pOh->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;//第一张导入表的RVA
    PIMAGE_IMPORT_DESCRIPTOR pId = (PIMAGE_IMPORT_DESCRIPTOR)(ImportRVA + (DWORD)mMoudle);//获取第一张导入表
    for (; pId->Name; pId++)
    {
        PIMAGE_THUNK_DATA pTD = (PIMAGE_THUNK_DATA)(pId->FirstThunk + (DWORD)mMoudle);//获取Thunk数组
        for (; pTD->u1.Function; pTD++)
        {
			if (pTD->u1.Function == (DWORD)oldFun)
			{
				DWORD oldProtect = 0;
				VirtualProtect(pTD, 4, PAGE_EXECUTE_READWRITE, &oldProtect);
                pTD->u1.Function = (DWORD)MyMessageBoxA;
				VirtualProtect(pTD, 4, oldProtect, &oldProtect);
				return TRUE;
			}
        }
    }
    return FALSE;
}

BOOL unHook()
{
	HMODULE mMoudle = GetModuleHandle(NULL);
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)mMoudle;
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((DWORD)mMoudle + pDos->e_lfanew);
	PIMAGE_OPTIONAL_HEADER pOh = (PIMAGE_OPTIONAL_HEADER) & (pNt->OptionalHeader);
	DWORD ImportRVA = pOh->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
	PIMAGE_IMPORT_DESCRIPTOR pId = (PIMAGE_IMPORT_DESCRIPTOR)(ImportRVA + (DWORD)mMoudle);
	for (; pId->Name; pId++)
	{
		PIMAGE_THUNK_DATA pTD = (PIMAGE_THUNK_DATA)(pId->FirstThunk + (DWORD)mMoudle);
		for (; pTD->u1.Function; pTD++)
		{
			if (pTD->u1.Function == (DWORD)MyMessageBoxA)
			{
				DWORD oldProtect = 0;
				VirtualProtect(pTD, 4, PAGE_EXECUTE_READWRITE, &oldProtect);
				pTD->u1.Function = (DWORD)oldFun;
				VirtualProtect(pTD, 4, oldProtect, &oldProtect);
				return TRUE;
			}
		}
	}
	return FALSE;
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        IATHook("user32.dll","MessageBoxA");
        break;
    case DLL_THREAD_ATTACH:
        break;
    case DLL_THREAD_DETACH:
        break;
    case DLL_PROCESS_DETACH:
        unHook();
        break;
    }
    return TRUE;
}

目标程序

#include<iostream>
#include<Windows.h>
int main()
{
	MessageBoxA(NULL, "123", "123", MB_OK);
	system("pause");
	MessageBoxA(NULL, "456", "456", MB_OK);
	system("pause");
	MessageBoxA(NULL, "456", "456", MB_OK);
	system("pause");
	return 0;
}

向你扔鸡爪
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IATHook--Ring3
KOOKNUT的博客
04-29 335
这是一个Ring3层的Hook技术,对目标进程的导入表中的目标函数进行地址检索匹配,最终Hook掉这个地址,达到我们的目的。 下面给出关键代码: int WINAPI MyMessageBoxA( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { return __OriginalAddress(NULL, "HookMe...
恢复IATHook--Ring3
KOOKNUT的博客
04-29 466
恢复Hook的思想就是:首先从目标模块的导出表中获得函数真正地址,从导入表的桥1中找到导入函数名称与当前函数名称匹配的结构之后,修改桥2中的函数地址为原函数地址。 附上关键代码: DWORD RecoverIATHook(const char *ModuleName, const char * FindFunctionName) { BOOL IsFind = FALSE; DWORD Old...
IAT HOOK
热门推荐
enjoy5512的博客
06-02 1万+
IAT Hook的实现
C/C++ IAT HOOK MessageBoxW
CSDN
07-16 4869
IATHook(Import Address Table Hook)是一种用于修改函数导入表的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入表中的函数地址,实现对目标函数的劫持和重定向。
HOOK -- IAT HOOK 本进程MessageBox
liujiayu2的专栏
06-30 792
下面转自网上的,给读者共享,本来自己写点的,但是一直在讲课,没有时间,姑且先复制粘贴下) ========================================================================================     结合网上资料、使用IAT HOOK截获MessageBox函数、、、 步骤如下 1..写
hook技术--IAT hook
weixin_30439031的博客
03-16 165
1.简介 当程序运行后IAT表才会被系统根据pe文件的导入表等信息填充该IAT字段, 填充后的IAT的函数地址是对应模块加载后真正的函数地址,程序中对dll中 的导出函数的调用也是通过该IAT的记录来调用的.因此可以通过注入dll后, 通过dll中的代码修改IAT表的记录,来实现hook. 原来的调用过程: call [aaaaa] => IAT[aaaaaa]::bbbbb =&g...
IAT HOOK DEMO win32/win64
HeroRazor的专栏
09-16 445
主要参考这个文章,但是修改了x64上的bug https://blog.csdn.net/yao_yu_126/article/details/12388779?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-10.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-
IAT Hook 原理分析与代码编写
CSDN
10-30 4828
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
IAT Hook
Tandy12356_的博客
05-26 1860
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题中的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
C++封装IATHOOK类实例
09-04
C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
iat输入表hook的源码
09-14
IATHook技术是一种常用的系统钩子技术,用于拦截和修改其他进程中的函数调用,从而实现诸如调试、监控、注入代码等功能。以下是对"IAT输入表hook的源码"进行详细解释的知识点: 1. **导入地址表(IAT)** - IAT是PE...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
C++基于hook iat改变Messagebox实例
09-04
本实例重点讨论了如何使用C++结合HookIAT(Import Address Table,导入地址表)来改变`MessageBox`函数的行为。 1. **Hook基本概念**: Hook技术主要是通过在函数调用链路中插入自定义的处理代码,使得原本调用...
Java 实现分页的几种方式详解
最新发布
fudaihb的博客
07-24 1111
在Web开发中,分页是一项非常常见的功能,特别是在处理大量数据时。分页不仅能提升系统性能,还能改善用户体验。本文将详细介绍Java实现分页的几种方式,帮助开发者选择最适合的方案。
数据结构——双向链表及其总结
2406_83392683的博客
07-23 372
1.概述链表根据是否带头、是否双向、是否循环可以分为八种,双向链表是典型的带头双向循环链表。2.双向链表的实现过程及其解析双向链表的实现依旧包含List.h,List.c,test.c2.1 链表初始化双向链表为空的情况:只有一个哨兵位。2.2插入数据。
2024.7.19 作业
qq_64434282的博客
07-19 2669
【代码】2024.7.19 作业。
AlphaWire连接线:适合各种应用的全方位Hook-Up Wire
"Hook-Up Wire /AL_1998_HUWbro_web" Hook-Up Wire是一种广泛应用于各种电气连接的电线,它具有多种特性和用途,适用于不同的环境和应用需求。这种电线通常由AlphaWire这样的专业制造商提供,确保了高质量和适用性...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值