Hook Windows API 的小测试

最新推荐文章于 2024-05-28 23:02:32 发布
最新推荐文章于 2024-05-28 23:02:32 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: win32-汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xw8867056/article/details/81265575
版权

 看了hook API 的原理,其中包括inline hook,原理如下:

自己写个hook的小测试,测试hook MessageBox 这个API

首先写一个只调用MessageBox的小程序,小程序代码如下

.386

.model flat,stdcall

option casemap:none

include windows.inc

include user32.inc

includelib user32.lib

include kernel32.inc

includelib kernel32.lib

   .data

szText db 'HelloWord',0

   .code

start:

   invoke MessageBox,NULL,addr szText,NULL,MB_OK

   invoke ExitProcess,NULL

end start

ollydbg 跟踪下这个helloworld的小程序

F7步入MessageBoxA

可以看到 MessageBox 的入口地址为  77d507EA,入口的前5个字节汇编为: MOV EDI,EDI  PUSH EBP  MOV EBP,ESP,根据原理可以把这5个字节的内容修改成跳转指令,跳转到我们自己编写的函数地址,就能实现 hook MessageBox了。

代码实现如下:

第一步先要获得MessageBox的入口地址,

 ,其中hUser32保存句柄,pMessageBox保存MessageBox的地址,变量的定义如下:,因为要改写MessageBox的前5字节的内容,而MessageBox入口地址的内存属性为执行只读,需先修改内存属性为执行读写,

内存属性修改后就可以改写入口地址前5字节的内容了,改写如下:

,需要说明下跳转指令jmp XXXX,jmp16进制为e9,所以jmp指令可以写成16进制 e9XXXX,其中XXXX的跳转地址为4个字节的偏移地址,上面的 sub ebx,eax,ebx为_NewMessageBox到 MessageBox的偏移地址,jmp指令本省要占用5个字节,所以偏移地址相应的-5,sub ebx,5,把算到e9+偏移地址写到原MessageBox的前5个字节。

其中的_NewMessageBox是要跳转的地址

,这里只是修改了messageBox的第二个参数,把原本弹出框的内容“hello world”改为“hooktest”,后5个字节的内容到时候要修改为跳转到原MessageBox入口地址+5个字节,所以先写了db    0e9h,00,00,00,00,到时候把地址修改为MessageBox入口地址+5个字节的偏移地址

 

,就基本完成hook messageBox

完整代码为

,运行程序

可以看到原来弹出框的内容hello world 被修改成了 hooktest,说明hook成功

xw8867056
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hook windows api测试
07-28
hook windows api 的小测试 用win32汇编写的,是hook messagebox的小测试
ssdt HOOK截获指定进程检测API
05-31
目前来看绝无仅有的程序,原创!监控指定进程的详细操作 内涵三个文件夹,一个驱动注入工具,一个启动设备端,一个被监控程序。 五脏俱全!!不是像目前流行的监控所有进程的对某系统资源的监控! 同时因为分数少所有才多要了些分
Windows hook介绍与代码演示
最新发布
琅嬛福地
05-28 657
Windows Hook 是一种机制,允许应用程序监视系统或处理特定事件。它可以拦截和更改消息,甚至可以插入到其他应用程序的消息处理机制中。Windows 提供了多种挂钩类型,例如键盘挂钩、鼠标挂钩、消息挂钩等。
API HOOK)进程保护工具
07-14
运行本软件之后,选择启用保护 (本软件适用于32位系统) 功能: (进程保护) 1、在任务栏里面终止进程是无效的。 (注意:窗口的正常关闭仍然是可以的, 也可以适用命令参数 taskkill 来终止 程序的进程。) 2、防止一些外挂程序对进程的注入控制 3、防止OD,CE以及其他一些调试器对进程 的读取(不是全部噢,暂时我没发现而已) (系统保护) 1、禁止使用CMD 2、禁止使用regedit 3、禁止使用.reg文件 程序运行后点击隐藏,本软件将自动隐藏起来。 隐藏后按F12即可呼出窗口。 PS:本软件采用了API拦截的技术,所以杀毒软件 可能会误报病毒,请放心使用。 软件还在改进中。。。 作者:GhostHand 本人QQ:544980123 希望加我QQ一起交流技术
各种HOOK方式和检测对抗方法
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截发包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
API Hook在TA中的应用
LYBWWP
11-11 625
有段时间帮公司搞TA,用到了API Hook技术,这里和大家共享一下, 欢迎一起探讨。   首先解释下什么是TA,TA也就是test automation, 即自动测试,也就是用机器来模拟人操作软件,然后测试操作结果是否按预想的流程进行。 公司产品的自动测试覆盖率一直上不去,很大的原因的是一些技术问题,因为自动测试工具是一个独立的进程,他很难知道被测试程序当时的UI情况。对于一些系统标准控件,可
Windows miniHook hookapi demo
09-14
"Windows miniHook hookapi demo" 是一个展示如何使用小型钩子库(MiniHook)来实现Windows钩子API的示例项目。在这个项目中,我们将探讨Win32钩子的基本概念,MiniHook库的使用,以及如何创建和测试一个简单的钩子...
API HOOK测试实例
01-22
在这个"API HOOK测试实例"中,我们看到使用了VC++6.0这一经典的微软集成开发环境来实现。这个实例主要展示了如何Hook Windows API中的`MessageBox()`函数,这是一个用于显示简单消息对话框的函数。 首先,让我们...
测试11_hookapi_TerminateProcess_pleasurejx5_源码
10-04
标题中的“测试11_hookapi_TerminateProcess_pleasurejx5_源码”表明这是一个关于API钩子(hookapi)技术的实践项目,具体是针对“TerminateProcess”函数的,由用户“pleasurejx5”创建或贡献了源代码。这个项目...
HOOKAPI.rar
03-25
Windows操作系统中,常见的Hook类型有WH_CALLWNDPROC、WH_GETMESSAGE、WH_MOUSE等,而在C++中,我们通常使用SetWindowsHookEx函数来实现系统级别的Hook。 2. API Hook的应用场景: - 软件调试:开发者可以Hook...
Native api hook参考资料文档
LoopherBear的博客
11-19 650
Native api hook技术分为两种类型的Hook,GOT-hook和inline-hook,以下是一些参考资料,主要针对armeabi-v7a,arm64-v8a系列CPU。 GOT-HOOK参考文档: 开源框架xhook xhook的原理是GOT-HOOK的一种称为PLT(Procedure Linkage Table)过程连接表Hook。 Github地址:https://g...
windows接口调试工具
01-19
用于在windows上使用的接口调试工具,操作简单,下载即用,绿色安全。
HOOK小工具(进程、窗口、全局)
12-14
HOOK小工具,可以用进程,窗口,全局注入,本人用进程方法注入了带NP的游戏
api hook writeprinter例子(系统API)
10-29
包括2个实例,第一个是api hook入门详细介绍,钩自己写的API例子,第二个是钩系统API的例子,非常详细,有测试源码,认证看完肯定明白其中原理,相信我,有什么不明白留言,一一回复!
API Hook的几种实现
weixin_30758821的博客
06-04 222
所谓的API Hook,就是利用某种技术将API的调用转为我们自己定义的函数的调用。这种技术在实际项目里面的应用也是很广泛的。最近,我在做关于我们项目的自动化测试的时候,就遇到了这种情况。在写测试代码之前,我们对测试代码有一些要求。1. 不能因为测试代码而修改原代码。2. 原有的模块是以dll格式输出的,在做测试的时候,要测的类和函数也只能使用dll的导出类或者函数,而不能将源文件重新编...
Android安全:Hook技术
热门推荐
1024工场
08-15 2万+
一、Hook技术 1.Hook英文翻译为“钩子”,而钩子就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件时,处理一些自己特定的事件; 2.Hook使它能够将自己的代码“融入”被勾住(Hook)的进程中,成为目标进程的一部分; 3.在Andorid沙箱机制下,Hook是我们能通过一个程序改变其他程序某些行为得以实现; 二、Hook分类 1.根据Android开发模式,Native模式(C/C++)和Java模式(Java)区分,在Android平台上 Java层
HOOK 系统 API
程序员人生
09-27 1133
一调用系统函数 MessageBoxA VCMessageBoxA(NULL,NULL,NULL,MB_OK)CALL dword ptr [0040d244]VC作了优化ASMinvoke  MessageBoxA,NULL,NULL,NULL,MB_OKCall 401abc401abc :jmp dword ptr [0040d244]未优化时,函数名代表了jmp dword ptr [00...
windows-API劫持(API-HOOK
天使也掉毛
08-14 2万+
API劫持,windows-API劫持(API-HOOK
截获 Windows socket API
12-07 1590
1前言本文主要介绍了如何实现替换Windows上的API函数,实现Windows API Hook(当然,对于socket的Hook只是其中的一种特例)。这种Hook API技术被广泛的采用在一些领域中,如屏幕取词,个人防火墙等。这种API Hook技术并不是很新,但是涉及的领域比较宽广,要想做好有一定的技术难度。本文是采集了不少达人的以前资料并结合自己的实验得出的心得体会,在这里进行总结发表
windows api hook & rootkits资料大全
12-03
Windows API Hook 是一种技术,用于截获和修改 Microsoft Windows 操作系统中的 API 调用。API 是应用程序与操作系统之间进行交互的接口,通过 Hook 技术,我们可以在 API 被调用前或者调用后注入自定义的代码来监控...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值