HOOK API

最新推荐文章于 2016-03-07 16:40:53 发布
最新推荐文章于 2016-03-07 16:40:53 发布
阅读量511 收藏
点赞数
分类专栏: 软件逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/10399199
版权

硬编码 HOOK API

这里实现   显示的  “失败”   换成  “成功了啊?”

77D507EA >- E9 733F6B88     jmp MyCrackM.00404762//这里是MessageBoxA    00404762 是 exe程序领空的一个地址
77D507EF    833D BC14D777 0>cmp dword ptr ds:[0x77D714BC],0x0
77D507F6    74 24           je short user32.77D5081C
77D507F8    64:A1 18000000  mov eax,dword ptr fs:[0x18]
77D507FE    6A 00           push 0x0

此时堆栈:

$ ==>    > 5F4323CC  /CALL 到 MessageBoxA 来自 MFC42D.5F4323C6
$+4      > 000C060C  |hOwner = 000C060C ('CrackMe',class='#32770')
$+8      > 004153F0  |Text = "失败"
$+C      > 00384520  |Title = "MyCrackMe"
$+10     > 00000000  \Style = MB_OK|MB_APPLMODAL


00404762    8BC4            mov eax,esp //换成 eax操作  最后不用还原
00404764    83C0 08         add eax,0x8
00404767    C700 96474000   mov dword ptr ds:[eax],MyCrackM.00404796
0040476D    8BFF            mov edi,edi //这里是HOOK掉的硬编码
0040476F    55              push ebp
00404770    8BEC            mov ebp,esp
00404772  - E9 78C09477     jmp user32.77D507EF
00404777    90              nop
00404778    90              nop


编程HOOK API:

程序运行后显示

CPUID0:
EAX = 0000000D //现在要求HOOK 这里显示的值  注入 DLLHOOK  OD插件注入   
EBX = 756E6547
ECX = 6C65746E
EDX = 49656E69

程序汇编:

00401030  |.  B8 00000000   mov eax,0x0
00401035  |.  0FA2          cpuid
00401037  |.  8985 ECFEFFFF mov [local.69],eax ;准备HOOK这里
0040103D  |.  899D F0FEFFFF mov [local.68],ebx
00401043  |.  898D E8FEFFFF mov [local.70],ecx
00401049  |.  8995 E4FEFFFF mov [local.71],edx
0040104F  |.  8B85 E4FEFFFF mov eax,[local.71]
00401055  |.  8B8D E8FEFFFF mov ecx,[local.70]
0040105B  |.  8B95 F0FEFFFF mov edx,[local.68]
00401061  |.  50            push eax
00401062  |.  8B85 ECFEFFFF mov eax,[local.69]
00401068  |.  51            push ecx
00401069  |.  52            push edx
0040106A  |.  50            push eax
0040106B  |.  68 B0D14000   push 获取硬件.0040D1B0                                              ;  ASCII "CPUID0:
EAX = %p
EBX = %p
ECX = %p
EDX = %p
"
00401070  |.  E8 B1010000   call 获取硬件.00401226 //这里是显示函数

跟平常不一样的是  我是要HOOK它进入我VC6.0函数中  


#include "stdafx.h"
#include <windows.h>


DWORD g_addr;


__declspec (naked)  void IsCPUID(void)
{
	__asm
	{
		mov eax,0x11111111;
		mov ebx,0x22222222
		mov ecx,0x33333333;
		mov edx,0x44444444;


		mov dword ptr ss:[ebp-0x114],eax			//这里是刚才HOOK掉的代码
		push g_addr
		ret
	}
}
BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		{
			::MessageBox(NULL, "DLL注入成功...", ":)", MB_ICONINFORMATION);


			g_addr = 0x00401037;								//这里是HOOK处
			BYTE  szJmp[6] = {0x90};
			szJmp[0] = 0xe9;
			
			DWORD dwJmp = (DWORD)IsCPUID - 0x00401037 - 5;		//用我的函数地址-HOOK处的地址-5  就是  E9 后面的数据
			memcpy(&szJmp[1],&dwJmp,4);							//第一个字符为E9    所以从第二字符开始复值


			DWORD dwProtet = 0;
			VirtualProtect((void*)g_addr,0x10000,PAGE_EXECUTE_READWRITE,&dwProtet);
			
			memcpy((void*)g_addr,(void*)szJmp,6);					//HOOK代码
			g_addr = g_addr + 6;										//这里跳过6个字符  在运行到函数时就  push ret


		}
		break;
	}
	
    return TRUE;
}







pandamac
关注
专栏目录
cpuid_hook
01-03
cpuid hook(通过VMX技术,实现hook cpuid)~~~~~~~~!!!!!!!!!!
cpuid hook(转载)
07-25
通过VMX技术,实现hook cpuid
Hooking CPUID – A Virtual Machine Monitor Rootkit Framework
08-13 1932
By: mobydefrag  Hooking CPUID – A Virtual Machine Monitor Rootkit FrameworkI am writing this article from inside a Virtual Machine … or perhaps I am not! One of the fascinating debates taking plac
CPUID
weixin_33725126的博客
07-21 101
http://www.xxlinux.com/linux/article/accidence/technique/20091125/17754.htmlhttp://blog.csdn.net/Timmy_zhou/article/details/5985309http://bbs.chinaunix.net/thread-2101456-1-1.htmlhttp://www.linuxforum...
C++使用hookapi操作源代码windows环境
12-28
在C++编程中,HookAPI是一种技术,允许程序员拦截或“挂钩”系统调用,以监控或修改其他程序的行为。这种技术广泛应用于Windows环境中,尤其是系统级别的操作,如网络通信、注册表操作、文件处理、对话框交互以及...
HOOKAPI.rar_api hook_hook api_hookapi
09-24
本资源"HOOKAPI.rar_api hook_hook api_hookapi"包含了一组与API Hook相关的MFC(Microsoft Foundation Class)代码,这对于理解API Hook的工作原理以及在实际项目中应用这一技术是非常有价值的。 API Hook的基本...
hook_api.zip_API_HOOK API_Hook_api_hook_hook api
09-23
标题中的"hook_api.zip_API_HOOK API_Hook_api_hook_hook api"可能是指一个包含有关API Hook实现的压缩包文件,可能包含了代码示例或工具。 描述中提到"api钩子好像比较好用",这意味着API Hook在某些场景下非常...
Hook API
Chinawash 专栏
08-25 1202
一、什么是API Hook    见下图所示,API Hook就是对API的正常调用起一个拦截或中间层的作用,这样可以在调用正常的API之前得到控制权,执行自己的代码。其中Module指映射到内存中的可执行文件或DLL。      module0    module1 |       |CALL module1!API001 ------------------------------
DELPHI编写的HOOK API实现DLL全局钩子启动记事本的程序-DELPHI prepared HOOK API to a
最新发布
01-09
DELPHI编写的HOOK API实现DLL全局钩子启动记事本的程序-DELPHI prepared HOOK API to achieve the overall hook DLL procedures start Notepad
通过_cpuid函数获取处理器cpuid
06-21
通过__cpuid接口获取cpuid,系统注册,硬件绑定。 memset(cpuid,0,len); int cpuInfo[4] = {-1}; __cpuid(cpuInfo, 0x0); //0X0指定要在EAX中传递的要检索的信息的代码 int _data[14][4]={0}; //nIds_一般情况为13,因此定义数组长度为14,实际上cpuid取值为:_data[1][3], _data[1][0],超过长度14后的数据可以不要 int nIds_ = cpuInfo[0]; for (int i = 0; i <= nIds_ && i<14; i++) { __cpuidex(cpuInfo, i, 0); _data[i][0]=cpuInfo[0]; _data[i][1]=cpuInfo[1]; _data[i][2]=cpuInfo[2]; _data[i][3]=cpuInfo[3]; }
在控制台查看CPUID的命令
热门推荐
u014434080的专栏
03-07 1万+
打开控制台,输入: wmic CPU get ProcessorID结果如下:
Intel处理器CPUID指令文档
07-30
讲述intel处理器cpuid指令的文档
cpu信息检测工具cpuid
10-28
一个软件工具,用于检测cpu信息
cpuid:适用于x86x86_64的简单CPUID解码器转储器
05-24
CPUID “ cpuid”是一个非常简单的C程序,旨在从x86 CPUID指令中转储和提取信息。 cpuid能够转储所有CPUID叶子(任何需要特殊ECX值才能转储所有信息的未知叶子除外)。 cpuid只能解码某些叶子,但是随着AMD和Intel提供的CPUID规范的更改,此功能将得到扩展。 建造 与大量其他开源项目相比,构建过程得到了简化。 您不需要autoconf / automake或那些工具带来的任何麻烦。 必需的: C编译器(已知可以使用GNU C编译器,LLVM / Clang,Microsoft Visual C ++和Intel C ++编译器) Perl 5.8或更高版本 以及以下之一: GNU Make 3.80或更高版本 Meson 0.50或更高版本 根据您使用的是GNU Make还是Meson,请执行以下一项操作: $ meson . build
HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook
09-23
"HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook"这个压缩包似乎包含了一系列关于Hook API的实践教程和示例,特别关注于RMXP(RPG Maker XP)平台,以及注册表相关的Hook应用。 RMXP是一款流行...
可以任意修改CPU信息的小程序
02-25
修改CPU的小程序 可以任意 试试吧!
CPUID tool (with Source Code)
07-22
CPUID tool (with Source Code) Compiler: Borland c++ 3.1
hook对应的汇编码0x8B, 0xFF,0x55,0x8B, 0xEC, // mov ebp,esp
linuxheik的专栏
10-20 2256
void lockUnhandledExceptionFilter() { HMODULE kernel32 = LoadLibraryA("kernel32.dll"); Assert(kernel32); if (FARPROC gpaSetUnhandledExceptionFilter = GetProcAddress(kernel32, "SetUnhandle
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值