温故:Windows API拦截框架

最新推荐文章于 2024-03-25 17:34:41 发布
原创 最新推荐文章于 2024-03-25 17:34:41 发布 · 825 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #api #jmp #hook

本文详细介绍了一种在Windows系统中实现API Hook的技术方案。通过修改目标API的前5个字节来实现跳转到自定义函数,同时保持了系统的稳定性和可靠性。文章提供了具体的实现代码,包括如何定位API地址、修改内存属性以及实现Hook函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows 系统API通常前5字节为固定的,因此改成JMP刚好合适:
 mov edi, edi 
 push ebp
 mov ebp, esp

我要介绍的方法用了很久,稳定性相当不错的说。
定义一个中继函数 用来跳转到原函数+5字节处。
定义一个假函数,用来处理参数,然后返还给中继函数,假函数中可以伪造参数以及返回值。。你懂得
需要注意函数在代码段,需要修改内存属性,否则写入不了jmp指令。





DWORD GetApiAddress(char* ApiName, char* moudleName)
{
    return (DWORD)::GetProcAddress(::GetModuleHandleA(moudleName), ApiName);
}
//WINUSERAPI int WINAPI MessageBoxA( _In_opt_ HWND hWnd, _In_opt_ LPCSTR lpText, _In_opt_ LPCSTR lpCaption, _In_ UINT uType)
DWORD org_saveMessageBoxAdreesAdd5Byte = 0;
__declspec(naked) int __stdcall TmpMessageBoxA(_In_opt_ HWND hWnd, _In_opt_ LPCSTR lpText, _In_opt_ LPCSTR lpCaption, _In_ UINT uType)
{
    __asm {
        /*  nop
            nop
            nop
            nop
            nop */
        mov edi, edi 
        push ebp
        mov ebp, esp
        jmp org_saveMessageBoxAdreesAdd5Byte

    }
}

int __stdcall HookIngMessageBoxA(_In_opt_ HWND hWnd, _In_opt_ LPCSTR lpText, _In_opt_ LPCSTR lpCaption, _In_ UINT uType)
{
    /*  OutputDebugStringA("此API被修改");**/
    return TmpMessageBoxA(hWnd, "已经被修改指令的MessageBoxA", lpCaption, uType);
}

bool  IsHook = false;//是否已经HOOK过  HOOK只需要执行一次
void CMFCApplication1App::HookMessage()
{
    if (IsHook == false)
    {
        //获取指定API地址
        DWORD _gMessageBoxA = GetApiAddress("MessageBoxA", "user32.dll");
        //修改指令   API头五个字节   为Jmp
        /*
        mov edi , edi
        push        ebp
        mov         ebp, esp*/
        DWORD oldProtect = 0;//保存原始内存读写权限
                             //修改中继函数 和 目标函数的 读写权限
        ::VirtualProtect((LPVOID)_gMessageBoxA, 5, PAGE_EXECUTE_READWRITE, &oldProtect);
        ::VirtualProtect((LPVOID)TmpMessageBoxA, 5, PAGE_EXECUTE_READWRITE, &oldProtect);

        //1.拷贝 目标函数的原始5字节 到 中继函数中
        //2.把目标函数地址+5字节保存起来 在中继函数中跳转
        //3.动态计算jmp指令后4字节的机器码
        //目标地址  -  原始地址  - 5 =  机器码


        org_saveMessageBoxAdreesAdd5Byte = _gMessageBoxA + 5; 


        DWORD jmp_code = (DWORD)HookIngMessageBoxA - _gMessageBoxA - 5;
        *((byte*)(_gMessageBoxA)) = 0xe9;//jmp
        *((DWORD*)(_gMessageBoxA + 1)) = jmp_code;
        IsHook = true;
    }

    ::MessageBoxA(NULL, "txt", "测试", 0);



}

这里写图片描述

windows核心编程之API拦截
软件开发
08-06 1245
这个是替换自己进程的API static void WINAPI MySleep(int i) { //((MyTest)g_sleep)(i); MessageBoxA(NULL, "1","1",MB_OK); } void MyHook() { PSTR pszKernel = "kernel32.dll"; PSTR pszSleepName = "Sleep"; PSTR
拦截win32 API
ljz888666555的专栏
07-13 1026
原文出处:http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。
WINDOWS API拦截技术与实现
10-26
WINDOWS API拦截技术与实现,拦截WINDOW 的消息。钩子实现。
Windows 平台下 Api拦截(hook)
悲伤的西班牙的专栏
12-18 3064
   Api拦截并不是一种新技术,在许多的商业软件中也使用了这一技术。主要使用的方法有两种:一种就是《windows核心编程》中介绍的修改PE文件的输入节,这种方法很安全,不过有些麻烦,还有个缺点就是有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是古老而又实用的jmp XXXX技术。    先讲一讲我们使用jmp的思路:    1. 先找到系统代码在进程空间中的
windows下的API拦截---利用detours库操作
Leo的历练之道
01-29 6644
API拦截技术是一种比较常见的技术,对某个软件使用的系统API进行拦截,可以改变软件的行为,从而达到自己的目的。关于拦截技术的原理,Jeffy在《Windows核心编程》里面介绍的非常详尽,就是通过PE文件的导入表获取到保存了Windows API函数地址的那个地方,然后把API的内存地址保存起来,把存放API地址的那个地方的内容改成我们自定义函数的地址,这样就实现拦截效果了。可以简单看下流程
温故:线性表|数据结构
leobert.lan的博客
03-21 213
对 数据结构 - 线性表 进行温故,以期获新知 温故系列是我尝试的一种新学习总结方式,在 阅历增长时,总结旧闻,以 期获 新知,并不断迭代。了解更多 本次温故时间:2021年3月 注:部分图片来自网络检索,未找到出处,内容仅供学习,如有侵权,可留言联系 要求删除 或者 要求指明出处 基本概念 线性表 ,全名为 线性存储结构,是一种 有序数据项 的 集合,其中每个数据项都有 唯一 的 前驱 和 后继, 注意:第一个没有前驱,最后一个没有后继。 新数据项加入到数据集中时,只会加入到原有某个数据项 之前
温故:自映射机制
Returns' Station
06-06 1772
/*/x86非PAE的虚拟地址 4k为一页,12位作为最后的页内偏移 剩下20位前十位页目录索引,中间十位页表索引,一共会有4k的页目录和4M的页表,windows将页表安排在0xc0000000~0xc0400000,页目录安排在0xc0300000~0xc0400000 也就是说页目录项本身也会用作页表项 自映射机制的优点,是让PDE PTE能够根据他们自己的虚拟地址推导出所指
asp.net core实践笔记:WebAPI(EF+Pomelo+MySQL)Code-First Repository模式
Sunny Wang的网络日志
02-10 1696
前言 活到老,学到老。 需要用到asp.net core写个小工具,n+n年前曾经用过asp写过一个小网站,但,asp.net core跟asp只是名字相似罢了。 前段时间学习了一下,在此写些文字分享一下,权当是笔记吧,希望能做到温故而知新。感觉知识点还是蛮多的,好在之前有学习过C#和WPF,对学习asp.net core还是非常有帮助的。最终目的是做一个前后端分离的小工具站点并用Docker部署,不知晓最后能不能完成目标,也无法估计需要多长时间,且学且做了。 网上一搜,相关的信息太多了,但说到要找到最适合
C# 温故而知新:stream篇
08-15
1.1 什么是Stream? 1.2 什么是字节序列? 1.3 Stream的构造函数 1.4 Stream的重要属性及方法 1.5 Stream的示例 1.6 Stream异步读写 1.7 Stream 和其子类的类图 2.1 为什么要介绍 TextReader?...2.2 TextReader的常用...
温故而知新】HTML元素:属性:标题:注释:段落:文本格式:头部:主体.md
最新发布
06-13
- **API增强**:地理位置API、文件API、WebStorage API等,提供了更多与用户交互的可能性。 - **表单改进**:更多输入类型(如email、number、range等),提高了表单的可用性和数据验证的便捷性。 - **语义化元素**...
Windows下Dll注入与API拦截
qiexinyueaifei的博客
03-25 1369
让我们来看一个例子。当这个通知被处理时,U s e r 3 2 . d l l便检索保存的这个关键字中的值,并且为字符串中指定的每个D L L调用L o a d L i b r a r y函数。当每个库被加载时,便调用与该库相关的D l l M a i n函数,其f d w R e a s o n的值是D L L _ P R O C E S S _ AT TA C H,这样,每个库就能够对自己进行初始化。在理想的情况下,你的D L L只应该映射到需要的进程中,同时,它应该以尽可能少的时间映射到这些进程中。
apicontroller拦截
qq_28480925的博客
03-08 1135
public class ApiPermissionFilter : ActionFilterAttribute     {         #region 属性         ///         /// 数据权限编码         ///         public string Code         { get; set; }         #end
Qt调用windowsAPI屏蔽截屏
m0_48719726的博客
12-30 1233
包含#include"windows.h" #include "winuser.h" 两个头文件 拷贝winuser.h头文件到自己工程目录下并修改如下位置类容 #if(_WIN32_WINNT >= 0x502)//修改值为0x502,原值为0x0601 #define WDA_NONE 0x00000000 #define WDA_MONITOR 0x00000001 #define WDA_EXCLUDEFROMCAPTURE 0x00000011 .
屏蔽窗口操作
125096
03-04 587
思路 1)捕获 WM_SYSCOMMAND 消息 2)拦截 wParam 对应的消息操作 case WM_SYSCOMMAND: { switch (wParam) { case 0x0f032: // 屏蔽标题栏双击最大化 case SC_MAXIMIZE: // 屏蔽最大化操作 break ; case 0x0f122
win32 api拦截---------hips核心技术
zk520的专栏
11-30 685
导读:   win32 api拦截---------hips核心技术   (转贴,本文比较基础,推荐阅览。当然,对于大侠来说,会嗤之以鼻)   拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。   许
拦截win32 API 调用(下)
亮子说编程的博客
06-30 1284
拦截win32 API 调用(下) 设计和实现      本部分将讨论钩子架构的关键部分以及它们之间的通讯方式。这样的架构能够拦截任何通过名称导入的api函数。      在概述拦截系统的设计之前,请留意几种注入和拦截方式。      首先,要选择一种能够把dll注入系统所有进程的方式。因此我设计了一个抽象基类,并实现两种注入技术,根据ini文件的设置和操作系统版本(例如windowsN
windows系统屏蔽热键(进程注入 窗口子类化)
liyuanba2dai的博客
04-22 2045
系统屏蔽相关热键主要是屏蔽相关系统快捷键功能,例如Alt+F4、Win+Tab、CTRL+ALT+ESC等,通过全局键盘钩子可以屏蔽大部分系统快捷键,但是有一种快捷键与其他的快捷键响应方式不同,其不是在应用程序层次响应,在操作系统启动时,系统就将该热键注册为安全序列,应用程序级别是无法获得该组合键的消息的,经过一周的调研,发现在windows系统系列中,XP和win7及以上系统对于该组合快捷键的处...
揭示win32 api拦截细节
02-11 1256
  原文出处:http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。   
历史温故小程序:毕业设计与课程学习利器
资源摘要信息:"12-历史温故小程序" 该资源包名为“12-历史温故小程序”,标题暗示这可能是一个与历史学习相关的小程序设计资源。资源的内容非常丰富,包括毕业设计的论文(Word版)、开题报告、任务书等,总字数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值