Hook API相关技术以及例子,Hook API的原理其实是通过核心函数强制修改原API的头部指针

最新推荐文章于 2020-08-20 15:16:49 发布
最新推荐文章于 2020-08-20 15:16:49 发布
阅读量832 收藏
点赞数
文章标签: api hook integer function dos buffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xtalk2008/article/details/1841767
版权

Hook API的原理其实是通过核心函数强制修改原API的头部指针,使其无条件跳转到自定义函数指针来实现的,如果学过汇编原理,其实就是jmp xxx

library HookComPort;

uses
  Windows,
  SysUtils,
  Classes;

type
  TCreateFile = function(lpFileName: PAnsiChar; dwDesiredAccess, dwShareMode: DWORD; lpSecurityAttributes: PSecurityAttributes; dwCreationDisposition, dwFlagsAndAttributes: DWORD; hTemplateFile: THandle): THandle; stdcall;
  TWriteFile = function(hFile: THandle; const Buffer; nNumberOfBytesToWrite: DWORD; var lpNumberOfBytesWritten: DWORD; lpOverlapped: POverlapped): BOOL; stdcall;
  TReadFile = function(hFile: THandle; var Buffer; nNumberOfBytesToRead: DWORD; var lpNumberOfBytesRead: DWORD; lpOverlapped: POverlapped): BOOL; stdcall;
  TMessageBox = function(hWnd: HWND; lpText, lpCaption: PAnsiChar; uType: UINT): Integer; stdcall;

  TImportCode = packed record
    JumpInstruction: Word;
    AddressOfPointerToFunction: PPointer;
  end;
  PImportCode = ^TImportCode;

  PImage_Import_Entry = ^Image_Import_Entry;
  Image_Import_Entry = record
    Characteristics: DWORD;
    TimeDateStamp: DWORD;
    MajorVersion: Word;
    MinorVersion: Word;
    Name: DWORD;
    LookupTable: DWORD;
  end;

  TCallBack = packed record
    FileName: array [0..255] of char;
    FileHandle: THandle;
    MainHandle: THandle;
    CreaetFile_Msg: Cardinal;
    ReadFile_Msg: Cardinal;
    WriteFile_Msg: Cardinal;
  end;

var
  hMappingFile: THandle = INVALID_HANDLE_VALUE;
  pCallBack: ^TCallBack;
  HookHandle: THandle = INVALID_HANDLE_VALUE;
  OldCreateFile: TCreateFile = nil;
  OldWriteFile: TWriteFile = nil;
  OldReadFile: TReadFile = nil;
  OldMessageBox: TMessageBox = nil;

{$R *.res}

function FinalFunctionAddress(Code: Pointer): Pointer;
var
  func: PImportCode;
begin
  Result := Code;
  if Code = nil then exit;
  try
    func:=code;
    if (func.JumpInstruction = $25FF) then Result := func.AddressOfPointerToFunction^;
  except
    Result := nil;
  end;
end;

function PatchAddress(OldFunc, NewFunc: Pointer): Integer;
var
  BeenDone: TList;
  function PatchAddressInModule(hModule: THandle; OldFunc, NewFunc: Pointer): Integer;
  var
    Dos: PImageDosHeader;
    NT: PImageNTHeaders;
    ImportDesc: PImage_Import_Entry;
    rva: DWORD;
    func: PPointer; DLL: String; f: Pointer; written: DWORD;
  begin
    Result:=0;
    Dos := Pointer(hModule);
    if BeenDone.IndexOf(Dos) >= 0 then exit;
    BeenDone.Add(Dos);
    OldFunc := FinalFunctionAddress(OldFunc);
    if IsBadReadPtr(Dos,SizeOf(TImageDosHeader)) then exit;
    if Dos.e_magic <> IMAGE_DOS_SIGNATURE then exit;
    NT := Pointer(Integer(Dos) + dos._lfanew);
    RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
    if RVA = 0 then exit;
    ImportDesc := pointer(integer(Dos) + RVA);
    while (ImportDesc^.Name <> 0) do
    begin
      DLL := PChar(Integer(Dos) + ImportDesc^.Name);
      PatchAddressInModule(GetModuleHandle(PChar(DLL)), OldFunc, NewFunc);
      Func := Pointer(Integer(DOS) + ImportDesc.LookupTable);
      while Func^ <> nil do
      begin
        f := FinalFunctionAddress(Func^);
        if f = OldFunc then
        begin
          WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, 4, written);
          If Written > 0 then Inc(Result);
        end;
        Inc(Func);
      end;
      Inc(ImportDesc);
    end;
  end;
begin
  BeenDone := TList.Create;
  try
    Result := PatchAddressInModule(GetModuleHandle(nil), OldFunc, NewFunc);
  finally
    BeenDone.Free;
  end;
end;

function GetMsgProc(code: integer; removal: integer; msg: Pointer): Integer; stdcall;
begin
  Result := 0;
end;

procedure StartHook; stdcall;
begin
  HookHandle := SetWindowsHookEx(WH_MAXHOOK, @GetMsgProc, LoadLibrary('HookComPort.Dll'), 0);
end;

procedure StopHook; stdcall;
begin
  UnhookWindowsHookEx(HookHandle);
end;

function MyMessageBox(hWnd: HWND; lpText, lpCaption: PAnsiChar; uType: UINT): Integer; stdcall;
begin
  Result := OldMessageBox(hWnd, lpText, PChar(String(lpCaption) + ':)'), uType);
end;

function MyCreateFile(lpFileName: PAnsiChar; dwDesiredAccess, dwShareMode: DWORD; lpSecurityAttributes: PSecurityAttributes; dwCreationDisposition, dwFlagsAndAttributes: DWORD; hTemplateFile: THandle): THandle; stdcall;
begin
  Result := OldCreateFile(lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile);
  if StriComp(lpFileName, pCallBack.FileName) = 0 then
  begin
    pCallBack.FileHandle := Result;
    PostMessage(pCallBack.MainHandle, pCallBack.CreaetFile_Msg, Result, Result);
  end;
end;

function MyWriteFile(hFile: THandle; const Buffer; nNumberOfBytesToWrite: DWORD; var lpNumberOfBytesWritten: DWORD; lpOverlapped: POverlapped): BOOL; stdcall;
var
  Data: array of char;
begin
  Result := OldWriteFile(hFile, Buffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);
  if hFile = pCallBack.FileHandle then
  begin
    SetLength(Data, nNumberOfBytesToWrite);
    CopyMemory(Data, @Buffer, nNumberOfBytesToWrite);
    PostMessage(pCallBack.MainHandle, pCallBack.WriteFile_Msg, GlobalAddAtom(PChar(Data)), nNumberOfBytesToWrite + 1);
  end;
end;

function MyReadFile(hFile: THandle; var Buffer; nNumberOfBytesToRead: DWORD; var lpNumberOfBytesRead: DWORD; lpOverlapped: POverlapped): BOOL; stdcall;
var
  Data: array of char;
begin
  Result := OldReadFile(hFile, Buffer, nNumberOfBytesToRead, lpNumberOfBytesRead, lpOverlapped);
  if hFile = pCallBack.FileHandle then
  begin
    SetLength(Data, nNumberOfBytesToRead);
    CopyMemory(Data, @Buffer, nNumberOfBytesToRead);
    PostMessage(pCallBack.MainHandle, pCallBack.ReadFile_Msg, GlobalAddAtom(PChar(Data)), nNumberOfBytesToRead + 1);
  end;
end;

procedure HookComPortOn;
begin
  if hMappingFile = INVALID_HANDLE_VALUE then
  begin
    hMappingFile := CreateFileMapping($FFFFFFFF, nil, PAGE_READWRITE, 0, SizeOf(TCallBack), 'HookComPort');
    pCallBack := MapViewOfFile(hMappingFile, FILE_MAP_WRITE or FILE_MAP_READ, 0, 0, 0);
  end;

  if @OldMessageBox = nil then
  begin
    @OldMessageBox := FinalFunctionAddress(@MessageBoxA);
    PatchAddress(@OldMessageBox, @MyMessageBox);
  end;

  if @OldCreateFile = nil then
  begin
    @OldCreateFile := FinalFunctionAddress(@CreateFileA);
    PatchAddress(@OldCreateFile, @MyCreateFile);
  end;

  if @OldWriteFile = nil then
  begin
    @OldWriteFile := FinalFunctionAddress(@WriteFile);
    PatchAddress(@OldWriteFile, @MyWriteFile);
   end;

  if @OldReadFile = nil then
  begin
    @OldReadFile := FinalFunctionAddress(@ReadFile);
    PatchAddress(@OldReadFile, @MyReadFile);
  end;

end;

procedure HookComPortOff;
begin
  if hMappingFile <> INVALID_HANDLE_VALUE then
  begin
    UnMapViewOfFile(pCallBack);
    CloseHandle(hMappingFile);
  end;

  if @OldMessageBox <> nil then PatchAddress(@MyMessageBox, @OldMessageBox);
  if @OldCreateFile <> nil then PatchAddress(@MyCreateFile, @OldCreateFile);
  if @OldWriteFile <> nil then PatchAddress(@MyWriteFile, @OldWriteFile);
  if @OldReadFile <> nil then PatchAddress(@MyReadFile, @OldReadFile);
end;

procedure DLLEntryPoint(dwReason: DWord);
begin
  case dwReason of
    DLL_PROCESS_ATTACH: HookComPortOn;
    DLL_PROCESS_DETACH: HookComPortOff;
  end;
end;

exports
  StartHook,
  StopHook;

begin
  DllProc := @DLLEntryPoint;
  DLLEntryPoint(DLL_PROCESS_ATTACH);
end.

 
xtalk2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOOKAPI大全(强烈推荐)
08-28
HOOKAPI C++ 希望对你有用. 解压密码为:www.londu.net
探秘YukiHookAPI:轻量级的Android Hook框架
最新发布
gitblog_00052的博客
04-09 263
探秘YukiHookAPI:轻量级的Android Hook框架 项目地址:https://gitcode.com/fankes/YukiHookAPI 项目简介 YukiHookAPI 是一个由开发者Fankes创建的轻量级Android Hook框架。该项目旨在为Android开发者提供一种简单、高效的方式来拦截和修改应用程序中的方法调用,无需深入理解复杂的Xposed或substrate框架...
Hook API 原理 解析
weixin_33836223的博客
05-23 411
1 什么是Hook API 简单的说,一个应用程序要调用一个API函数,例如CreateFileW,那么应用程序必须要知道函数的地址,才能调用它,我对Hook API的理解是,把这个函数地址替换为另一个函数MyCreateFileW的地址,那么每当程序调用CreateFileW时,就会调用MyCreateFileW 2 Hook API有什么用 在《Rootkits——W...
简单的Hook Api 步骤
谬论的幻想的专栏
04-02 1412
首先Hook Api 有两种方法  1) 可以修改指向系统API的地址来达到目的,比如像"user32.dll" "kernel32.dll" 等,这些都是系统已经加载好的dll,如果可以把指向这些dll里API的地址改了就可以达到目的,其实系统的dll空间该不能更改,因为WriteProcessMemory这个函数的前提是不管该内存是否可读都可以进行更改.2)就是修改模块的入口表,其实
HOOK API技术
【黑键】
10-13 4046
HOOk API技术 HOOK学习笔记与心得 奇技淫巧之调试被远程线程注入的DLL windows核心编程_系统消息与自定义钩子hook使用 [Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术] Hook :Microsoft Detours 2.1简介 detours3.0文档 Hook简单实用 detours ...
易语言增强APIHook类1.4模块
07-18
易语言增强APIHook类1.4模块源码,增强APIHook类1.4模块,汇编动态调用函数,MyMessageBoxA1,MyMessageBoxA2,MyMessageBoxA3,子程序10000000000000000000000000000,MyGetWindowLongA1,MyGetWindowLongA2,线程1,线程2,...
hook api lib.zip
10-04
HookProc的函数类型和来的api一样,只是参数比API多2个 DWORD WINAPI HookProc(DWORD RetAddr ,__pfnXXXX pfnXXXX, ...); //参数比始的API多2个参数 RetAddr //调用api的返回地址 pfnXXX //类型为__pfnXXXX...
精通Windows.API-函数、接口、编程实例.pdf
01-27
2.3 Windows API核心DLL 21 2.3.1 Kernel32.dll 21 2.3.2 User32.dll 21 2.3.3 Gdi32.dll 22 2.3.4 标准C函数 22 2.3.5 其他Dll 22 2.4 Unicode和多字节 22 2.4.1 W版本和A版本的API 24 2.4.2 ...
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数修改方法的返回值
04-27
Frida iOS挂钩一个脚本,可帮助您在iOS平台上跟踪类,函数修改方法的返回值。 对于Android平台: : 环保操作系统支持作业系统支持的著名的苹果系统 :check_mark_button: 主要的Linux :check_mark_button: 子视窗 ...
在win32下Hook系统API.txt
10-26
以下程序在Windows 98、Microsoft Visual Studio 97中调试通过,由于编程中并未使用Windows 9x的特性,且程序依靠的PE文件格式在Windows 9x和Wiundows NT中是通用的,因此上述方法在Windows NT可能也是可行的,只是...
屏幕取词getword二次开发.rar
08-28
GetWord是一款专业的屏幕取词组件(控件),它可以帮助您在公司产品中快速便捷地集成屏幕取词功能,有效降低软件开发成本。GetWord是世界上第一款也是目前唯一一款全面支持Windows Vista和Adobe Acrobat/Acrobat Reader的专业屏幕取词引擎。目前,遍布世界各地的50多个国家和地区的众多客户都在使用GetWord。这些客户有:Apple(美国)、LEC(美国)、NetBrain(美国)、Autonomy(英国)、MJT Net(英国)、Linguatec(德国)、Issendis(法国)、Karolinska Insitutet(瑞典)、Caliber Multimedia(台湾)、MegaDict(泰国)、Matrix Development System(西班牙)、国泰君安(中国上海)、快鱼科技(中国北京)、爱科信(中国深圳),等等. 产品信息: 支持的操作系统: Windows 2000/Windows XP/Windows Server 2003/Windows Vista/Windows 7。 支持的软件开发环境: GetWord支持所有主流的软件开发环境,如Visual Studio 6.0, Visual Studio .Net 2003, Visual Studio .Net 2005, Delphi , C++ Builder, Dev-Cpp等等。
屏幕取词C++源代码(看评论酌情下载)
10-24
屏幕取词C++源代码,nhw32.dll实现,参考~
详谈HOOK API技术
gzfqh的专栏 →底层代码研究
02-05 8368
文章作者:MGF信息来源:邪恶八进制信息安全团队(www.eviloctal.com) HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或ExtTextOut()这两个函数
Hook技术API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
补——HOOK API函数
sxr__nc的博客
04-06 593
HOOKAPI的意思就是,给系统函数API挂钩,让系统调用API的时候,先执行我们自己设定的程序,之后再决定是不是执行具体的API函数的功能。 HOOK API原理: 如下图: 至于是否执行完整API函数的完整代码则无所谓 大概思路: 1、 要hook MessageBox这个API,首先要获取到这个API的地址,这个API是User32.dll的导出函数,所以要先获得这个模块的地址 2、 获...
没有HOOK就没有病毒?详谈HOOK API技术(转)
cuankuangzhong6373的博客
03-25 636
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻...
SetWindowsHookEx 的资料整理 与 内部机理 的深入分析
05-17 340
问题: 在使用Hook的过程中,经常会遇到SetWindowsHookEx返回NULL的情况,GetLastError或者在监视窗口$err,hr后可以看到错误代码及解释,例如87号参数错误,但是参数错误又分好多种情况,到底我们在哪一步出错了很难知道,比如之前我通过CreateProcess创建了一个子进程,然后使用返回的线程Id传入SetWindowsHookEx,一直返回的错...
linux hook
08-23 414
  https://blog.csdn.net/cncnlg/article/details/45892399
linux hook方法整理
faxiang1230的专栏
08-20 5434
在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变始的执行流,下面简要分类linux系统下的各种hook方式,主要有三类:修改函数指针,直接修改指令,利用系统提供的注册机制. 函数指针hook C语言的一项强大的功能就是指针,指针代表一个地址,而函数指针就是指向一个函数地址的指针,通过函数指针来指向不同的函数地址控制执行流. 一般这类函数指针存在于软件运行的整个周期中,要实施这类hook首先就是找到关键的函数指针,之后就和普通的指针修改一样进行改变就OK. 函数指针的使
c++ 代码 inline hook 如何拦截自己进程的api函数
06-12
// 始的 API 函数指针 typedef int(__stdcall* OriginalFunction)(int); // 要拦截的 API 函数的名称 const char* FunctionName = "MessageBoxA"; // hook 函数,用于拦截 API 函数 int __stdcall HookFunction...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值