自己笔记转载

最新推荐文章于 2017-01-25 11:08:47 发布
最新推荐文章于 2017-01-25 11:08:47 发布
阅读量470 收藏
点赞数

HSEND 

// hooksend.cpp : Defines the entry point for the DLL application.
//

#include "stdafx.h"
#include <WINSOCK2.H>

#pragma comment(lib,"Ws2_32.lib")

//本dll的handle
HANDLE g_hInstance = NULL;
//修改API入口为 mov eax, 00400000;jmp eax是程序能跳转到自己的函数
BYTE g_btNewBytes[8] = { 0xB8, 0x0, 0x0, 0x40, 0x0, 0xFF, 0xE0, 0x0 };
//保存原API入口的8个字节
DWORD g_dwOldBytes[2][2] = { 0x0, 0x0, 0x0, 0x0 };
//钩子句柄
HHOOK   g_hOldHook = NULL;
//API中send函数的地址
DWORD g_pSend = 0;
//事务,解决同步问题
HANDLE g_hSendEvent = NULL;
//自己的send函数地址,参数必须与API的send函数地址相同
int _stdcall hook_send( SOCKET s, const char *buf, int len, int flags );
//要Hook的进程和主线程ID号
DWORD g_dwProcessID = 0;
DWORD g_dwThreadID = 0;

BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD ul_reason_for_call,
                       LPVOID lpReserved
      )
{
if(ul_reason_for_call == DLL_PROCESS_ATTACH)
{
   //获取本 dll句柄
   g_hInstance = hModule;
  
   //创建事务
   g_hSendEvent = CreateEvent( NULL, FALSE, TRUE, NULL );
  
   //重写API开头的8字节
   HMODULE hWsock = LoadLibrary( "wsock32.dll" );
   g_pSend = ( DWORD )GetProcAddress( hWsock, "send" );
  
   //保存原始字节
   ReadProcessMemory( INVALID_HANDLE_VALUE, ( void * )g_pSend,
    ( void * )g_dwOldBytes[0], sizeof( DWORD )*2, NULL );
   //将 00400000改写为我们函数的地址
   *( DWORD* )( g_btNewBytes + 1 ) = ( DWORD )hook_send;
   WriteProcessMemory( INVALID_HANDLE_VALUE, ( void * )g_pSend,
    ( void * )g_btNewBytes, sizeof( DWORD )*2, NULL );
    }
    return TRUE;
}

int _stdcall hook_send( SOCKET s, const char *buf, int len, int flags )
{
   int nRet;
   WaitForSingleObject( g_hSendEvent, INFINITE );

   //恢复API头 8个字节
   WriteProcessMemory( INVALID_HANDLE_VALUE, ( void* )g_pSend,
      ( void* )g_dwOldBytes[0], sizeof( DWORD )*2, NULL );

   /*
   这里可以添加想要进行的处理过程
   */

   //真正执行 API函数
   nRet = send( s, buf, len, flags );

   //写入跳转语句,继续Hook
   WriteProcessMemory( INVALID_HANDLE_VALUE, ( void* )g_pSend,
      ( void* )g_btNewBytes, sizeof( DWORD )*2, NULL );

   SetEvent( g_hSendEvent );

   return nRet;
}

BOOL StartHook(HWND hWnd)
{
HOOKPROC HookProc;
    //通过传入的窗口句柄获取线程句柄
    g_dwThreadID = GetWindowThreadProcessId( hWnd, &g_dwProcessID );

    //WH_CALLWNDPROC 类型的Hook
    g_hOldHook = SetWindowsHookEx( WH_CALLWNDPROC, HookProc,
        ( HINSTANCE ) g_hInstance, g_dwThreadID );

    if( g_hOldHook == NULL )
        return FALSE;

    return TRUE;
}

static LRESULT WINAPI HookProc( int nCode, WPARAM wParam, LPARAM lParam )
{

return CallNextHookEx( g_hOldHook, nCode, wParam, lParam );
}

void StopHook(void)
{
   if(g_hOldHook != NULL)
   {
       WaitForSingleObject( g_hSendEvent, INFINITE );

       HANDLE hProcess = NULL;
       hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, g_dwProcessID);

       DWORD dwOldProc;
       DWORD dwNewProc;

       //改变页面属性为读写
       VirtualProtectEx( hProcess, ( void* )g_pSend, 8, PAGE_READWRITE, &dwOldProc );

       //恢复 API的首8个字节
       WriteProcessMemory( hProcess, ( void* )g_pSend,
            ( void* )g_dwOldBytes[0], sizeof( DWORD )*2, NULL );

       //恢复页面文件的属性
       VirtualProtectEx( hProcess, ( void* )g_pSend, 8, dwOldProc, &dwNewProc );

       CloseHandle(g_hSendEvent);

       UnhookWindowsHookEx( g_hOldHook );
    }
}

whowho
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPadSL500笔记本电脑拆机经验(转载).pdf
11-29
ThinkPad SL500 笔记本电脑拆机经验 笔记本电脑拆机是指将笔记本电脑拆解成各个零部件,以便进行维修、升级或更换零部件的过程。ThinkPad SL500 是一款由 IBM 生产的笔记本电脑,具有良好的性能和可靠性。...
组件聚合思路的剥离部分
whowho的专栏
01-04 383
代码仅仅为明确思路,可能有错误和不完善的地方,:)#include using namespace std;class IUnkonwn{      public:            virtual void qdisp1(int IID,void**ptr)=0;};class NotIUnkonwn{       public:         
Windows下Hook API技术
08-20 2214
Windows下Hook API技术     什么叫Hook API?所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统
NTDLL
whowho的专栏
06-14 1932
ntdll.dll是最基本的Dll,不但其他Dll的动态链接要由这个Dll完成,连系统调用也需要通过这个Dll进入内核。Windows内核在初始化阶段首次需要装入这个Dll的时候为其创建了一个文件映射区对象,并使用一个全局指针PspSystemDllSection指向该对象的数据结构。             nt!PspSystemDll   kd> dd nt!PspSy
csdn如何转载文章
Aggressive_snail的专栏
01-25 4355
在csdn看到好的文章想转载,无奈找不到转载的功能,只能想办法了。首先确定原文允许转载 在文章开头处一般有版权声明,如图 转载时要注明出处和作者 如何转载 用谷歌浏览器加载文章地址,打开文章 F12打开Developer Tools,并打开Elements页面 将文章开头部分的文字作为关键字在Elements界面搜索以此文为例:http://blog.csdn.net/aggressive_snai
中断请求与中断请求级
whowho的专栏
04-01 1058
中断请求与中断请求级 中断是异步过程调用,简而言之就是打断当前CPU正在执行的任务转而去执行另一个任务 windows在初始化时,为每种中断安装了一个中断处理例程---ISR(intterupt service routine),它们储存在IDT(intterupt dispatch table中断分发表)中,每次发生中断,处理都将询问中断控制器,中断控制器会将当前发生中断映射成一个中断号,用
CCNA的笔记转载
03-06
CCNA的笔记转载
Apache的学习笔记
01-20
版权声明:可以任意转载转载时请务必以超链接形式标明文章原始出处和作者信息及本声明http://www.chedong.com/tech/apache_install.html关键词: apache install ...我个人感觉Apache的设计充分体现了模块化设计的...
运维笔记网关运维笔记---转载
06-25
【运维笔记】网关运维笔记---转载 这篇运维笔记主要涵盖了基础的IT知识,适合入门级读者学习。作者强调笔记中的内容多为基础知识,旨在帮助新手理解和掌握IT领域的基础知识,特别是对信息化底层知识的讲解。笔记...
Castor学习笔记 (转载)
03-22
《Castor学习笔记》 Castor是一个开源的Java库,主要用于在Java对象和XML数据之间进行映射。它提供了一种简单的方法来处理XML数据,将XML文档转换为Java对象,反之亦然,极大地简化了数据交换的工作。在这个学习...
Prototype PTE
whowho的专栏
06-14 1284
#define MM_DEFAULT_PAGED_POOL_START (0xE1000000) #define MiPteToProto(lpte) (DWORD)((DWORD)(((((lpte)) >> 11) << 9) + \ (((((lpte))) > 23) + \ MM_DEFAULT_PAGED_POO
jiaoyanguizeduibi
07-10
jiaoyanguizeduibi
戴师兄数据分析启蒙课_Tableau练习.twbx
07-10
戴师兄数据分析启蒙课_Tableau练习.twbx
2024年欧洲酒精测试仪和药物测试设备市场主要企业市场占有率及排名.docx
07-09
2024年欧洲酒精测试仪和药物测试设备市场主要企业市场占有率及排名.docx
理工科考研自动控制知识点大全
最新发布
07-10
理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全理工科考研自动控制知识点大全
福州市建筑物矢量数据(Shp格式+带高度).txt
07-09
因文件较多,数据存放网盘,txt文件内包含下载链接及提取码,永久有效。失效会第一时间进行补充。
linux常用命令大全.txt
07-10
linux
【mysql整理pdf】
07-10
mysql整理
utf8汉字字符和拼音的映射结构
07-10
utf8汉字字符和拼音的映射结构
python笔记 嵩天
07-27
- *1* *2* *3* [(转载)[python学习笔记]Python语言程序设计(北理工 嵩天)](https://blog.csdn.net/StefanCharlie/article/details/83189202)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值