Windows核心编程(二十二)API拦截

最新推荐文章于 2021-04-15 18:17:41 发布
最新推荐文章于 2021-04-15 18:17:41 发布
阅读量1k 收藏 1
点赞数
分类专栏: Windows核心编程 Windows核心编程 文章标签: windows 多线程 DLL API 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshibendangao/article/details/23089727
版权

1、一个模块的导入段包含一组DLL。为了让模块能够运行,这些DLL是必须的。

导入段还包含一个符号表。它列出了该模块从各DLL中导入的符号。当模块调用这些导入符号的时候,系统实际上会调用转换函数,获得导入函数在导入表的地址,然后再跳到相应的位置。

如果我们能将导入段中相应导入函数的地址替换成自定义的函数的地址,即可实现对该函数的拦截。在自定义的函数中,我们既可以调用拦截的函数,也可以执行其他工作。


2、为了修改要拦截的函数在导入段的地址,首先要获得PE文件导入段的地址。可以调用ImageDirectoryEntryToData函数。

[cpp]  view plain copy
  1. PVOID WINAPI ImageDirectoryEntryToData(   
  2.   
  3. __in   PVOID Base,   
  4.   
  5. __in   BOOLEAN MappedAsImage,   
  6.   
  7. __in   USHORT DirectoryEntry,   
  8.   
  9. __out  PULONG Size );  

---Base为要获得导入段所在模块的基地址。它一般是GetModuleHandle的返回值。

---MappedAsImage,它为true时,系统将该模块以映像文件的形式映射,否则以数据文件的形式映射。

---DirectoryEntry,要获得的段的索引。


3、此函数不仅能够获得导入段的地址,根据此索引的不同,该函数返回对应段的地址。此处我们使用IMAGE_DIRECTORY_ENTRY_IMPORT表示我们要获得导入段的地址。

---Size返回表项的大小。注意其类型。

[cpp]  view plain copy
  1. ULONG size;  
  2.   
  3. HMODULE hModule=GetModuleHandle(NULL);  
  4.   
  5. PIMAGE_IMPORT_DESCRIPTOR pImport=  
  6.   
  7. ImageDirectoryEntryToData(hModule,true,IMAGE_DIRECTORY_ENTRY_IMPORT,&size);  
  8.   
  9. while(pImport->FirstThunk)  
  10.   
  11. {  
  12.   
  13. int i=0;  
  14.   
  15. char *ModuleName=(char*)((BYTE*)hModule+pImport->Name);  
  16.   
  17. PIMAGE_THUNK_DATA pThunk=(PIMAGE_THUNK_DATA)  
  18.   
  19.                                                 ((BYTE*)hModule+pImport->FirstThunk);  
  20.   
  21. while(pThunk->u1.Function)  
  22.   
  23. {  
  24.   
  25.                   char*Func=(char*)((BYTE*)hModule+pThunk->u1.AddressOfData+2);  
  26.   
  27. If(Func=="MessageBoxA")   
  28.   
最低0.47元/天 解锁文章
笨蛋糕
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows核心编程API拦截
软件开发
08-06 1159
这个是替换自己进程的API static void WINAPI MySleep(int i) { //((MyTest)g_sleep)(i); MessageBoxA(NULL, "1","1",MB_OK); } void MyHook() { PSTR pszKernel = "kernel32.dll"; PSTR pszSleepName = "Sleep"; PSTR
Windows 平台下 Api拦截(hook)
悲伤的西班牙的专栏
12-18 2862
   Api拦截并不是一种新技术,在许多的商业软件中也使用了这一技术。主要使用的方法有两种:一种就是《windows核心编程》中介绍的修改PE文件的输入节,这种方法很安全,不过有些麻烦,还有个缺点就是有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是古老而又实用的jmp XXXX技术。    先讲一讲我们使用jmp的思路:    1. 先找到系统代码在进程空间中的
windows下的API拦截---利用detours库操作
Leo的历练之道
01-29 6146
API拦截技术是一种比较常见的技术,对某个软件使用的系统API进行拦截,可以改变软件的行为,从而达到自己的目的。关于拦截技术的原理,Jeffy在《Windows核心编程》里面介绍的非常详尽,就是通过PE文件的导入表获取到保存了Windows API函数地址的那个地方,然后把API的内存地址保存起来,把存放API地址的那个地方的内容改成我们自定义函数的地址,这样就实现拦截效果了。可以简单看下流程
Windows核心编程【22】小结
BetaBin
06-12 1798
第22章 DLL注入和API拦截Windows中,每个进程都有自己私有的地址空间。独立的地址空间对开发人员和用户都是非常有利的。对开发人员来说,系统更有可能捕获错误的内存读/写。对用户来说,OS变得更加健壮,因为一个应用程序的错误不会导致其他应用程序或OS崩溃。 APP需要跨越进程边界来访问另一个进程的地址空间的情况如下: 1、想要从另一个进程创建的窗口派生子类窗口。
Windows核心编程》之22远程线程注入DLL
qingmoshu的专栏
07-24 330
起源 贵铎·范·罗萨姆(Guido van Rossum)于 1989 年底始创了 Python 1991 年初,Python 发布了第一个公开发行版。 特点C 或者 C++最大的弊病在于内存管理是由开发者负责的。在 Python 中,由于内存管理是由 Python 解释器负责的,所以开发人员就可以从内存事务中解放出来,全神贯注于最直接的目标,仅仅致力于开发计划中首要的应用程序。这会使错误更少
windows核心编程》第22章最后一个例子(拦截API的问题)
最新发布
11-03
Windows核心编程》是Windows API开发的经典之作,深入讲解了Windows操作系统编程的各个方面。第22章的主题可能涉及系统调用、动态链接库(DLL)、钩子机制以及API拦截技术。最后一个例子通常会是一个综合应用,以...
Windows核心编程系列》谈谈修改导入段拦截API
01-09
 要实现修改导入段来拦截API必须对PE文件格式有很好的了解。网上关于它的资料铺天盖地,自己搜吧。此处不打算介绍。  为了修改要拦截的函数在导入段的地址,首先要获得PE文件导入段的地址。这可以调
易语言源码Windows Hook 易核心编程(3) API Hook 续 拦截API.7z
04-06
通过学习和理解这些源码,开发者可以更好地掌握如何在易语言环境下利用Windows Hook技术来实现API拦截,这对于提升编程技能和开发特定功能的应用程序大有裨益。 总之,API Hook是Windows编程中的强大工具,结合...
易语言源代码_Windows Hook 易核心编程(3) API Hook 续 拦截API.zip
10-18
在"易语言源代码_Windows Hook 易核心编程(3) API Hook 续 拦截API.zip"这个压缩包中,我们主要关注的是Windows钩子(Hook)技术和API拦截的概念,这是在系统级编程中常见的技术,尤其对于监控、调试以及扩展操作...
Windows_API编程
03-03
Windows API编程是开发Windows应用程序的核心技术,涉及到操作系统底层的交互和控制。在Windows编程中,API(Application Programming Interface)是一组预先定义的函数、结构、常量和类型,允许程序员访问操作系统...
WINDOWS API拦截技术与实现
10-26
WINDOWS API拦截技术与实现,拦截WINDOW 的消息。钩子实现。
Windows DLL注入和API拦截简介
机器学习与神经网络
09-22 3165
1.函数 LONG_PTR WINAPI SetWindowLongPtr( __in HWND hWnd, __in int nIndex, __in LONG_PTR dwNewLong ); 函数介绍参见http://msdn.microsoft.co
通过api和键盘钩子彻底屏蔽任务栏和开始菜
killmice的专栏
03-07 938
通过api和键盘钩子彻底屏蔽任务栏和开始菜 大学城栏目:居民空间消息快播|空间栏目:Θ Delphi 收藏到我的学习空间 收藏到我的课堂魔方 全屏 发表时间:2011-12-12 16:40:17 浏览:97 评论:0 在一些碰到过的多媒体软件编制过程中通常需要彻底屏蔽任务条,通常的办法是调用ShowWindow(h,SW
API函数拦截
u014291956的专栏
12-26 841
Windows中,我们有时需要拦截系统提供的API来实现某些特殊的功能,如针对不同的进程实现API权限控制或者监听用户输入输出,而API函数拦截就是实现这些功能的基础。其通过将系统函数替换为我们提供的函数,当进程内调用该函数时,系统自动调用我们替换后的函数,这样我们就可以实现不同的返回结果,但注意的是需要与系统函数相同的参数签名,否则会引起进程崩溃。关键技术点如下: 1)      根据MSD
详细分析已遭利用的 Desktop Window Manager 0day
smellycat000的专栏
04-15 970
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码安全卫士作者:BORIS LARIN、COSTIN RAIU 和 BRIAN BARTHOLOMEW本文作者在分析 CVE-2021-...
精通win32api编程pdf
07-03
该书的内容包括Win32 API核心组件、常用编程概念和技术、消息处理、图形界面设计、内存管理、多线程编程、网络编程等。不仅介绍了基础知识,还着重讲解了高级和复杂的编程技术与技巧。 读者通过学习该书可以掌握...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值