WIN32 Inline HOOK

最新推荐文章于 2023-02-17 23:30:28 发布
原创 最新推荐文章于 2023-02-17 23:30:28 发布 · 599 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了WIN32 Inline Hook技术,这是一种类似于代码注入的原理,通过修改汇编指令实现在目标函数前插入自定义逻辑。在自定义函数内,需保持寄存器值和堆栈状态的一致性,通常使用裸函数来实现。文中还提到,如果被替换的代码不涉及堆栈修改,可以使用call和ret指令简化跳转。示例代码展示了如何设置和卸载HOOK,并验证其效果。

Inline hook 和CE里面的代码注入很像(应该是一个东西),这个技术的原理是,修改汇编指令,让某个指令跳转到我们定义的函数,然后在函数内完成被替换的指令,然后再跳转回去。在我们定义的函数内,我们可以实时获取寄存器的值,从而可以完成对函数行为的监视和修改。

在我们定义的函数内,需要注意,寄存器的值和堆栈状态,执行前后必须完全一致,否则程序会出错。为了实现这个目的,我们需要用到裸函数。

下面是代码,要注意代码中使用的地址仅在我的机器上有效,如果你要编译这个程序,第一次运行会失败,请根据生成的汇编代码,找到Plus的地址,然后对SetInlineHook的参数1作相应修改。

另外补充一点,如果被替换的代码不含修改堆栈的指令(如push),则可以用call和ret的方式来实现跳转,这样写起来更方便些。

// InlineHook.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#include <STDIO.H>

int Plus(int x, int y);
void HookAddress();
void SetInlineHook(DWORD originalCodeAddr, DWORD originalSize, DWORD newCodeAddr);
void UnsetInlineHook(DWORD originalCodeAddr);

BYTE g_bOriginCode[64]; // 原始代码,卸载HOOK时用到
DWORD g_dwOriginCodeSize; // 原始代码的大小
DWORD g_ret; // HOOK函数内跳转到原函数的地址


int main(int argc, char* argv[])
{
   
   
	// 00401080 55                   push        ebp
	// 00401081 8B EC
最低0.47元/天 解锁文章
hambaga
关注
Win32-HOOK技术
qq_36318563的博客
07-15 690
1. HOOK技术本质是利用 API 来提前拦截并处理 Windows 消息的一种技术。2. 运行机制:钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统中,每当特定的消息发出,在到达目的窗口之前,钩子程序就先截获该消息,这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
多线程inline hook
hambaga的博客
09-12 722
当要hook的代码不停地被其他线程调用时,直接memset改代码是不行的,程序会崩,这时有一种简单的办法来解决这个问题,就是使用 InterlockedExchange64 宏。 https://docs.microsoft.com/en-us/windows/win32/api/winnt/nf-winnt-interlockedexchange64 这个宏做的事情就是复制,但是它是“原子赋值”,因此不用担心线程互斥问题。我猜这个宏底层实现原理可能是给要写的内存设置了一个互斥体之类的东西,或者是把其他访问
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
win32钩子编程指南
12-02
钩子编程实用指南,包含钩子编程概念、机制、函数、源码以及程序。解压Hook和hotKey.rar时,360会报警。里面是已经编译的C程序可执行文件,报警是当然,这是钩子的本质工作^_^。请斟酌使用!
Win32 InlineHook
lygl35的博客
03-15 150
内联HOOK函数内部 VirtualProtectEx内存地址改为可写属性 卸载HOOK函数 执行的汇编代码
Windows上的InlineHook学习
weixin_34232617的博客
10-30 327
简单Demo 原理介绍InlineHook 的原理非常简单,举个栗子方便阐述:函数 func1() 是原始函数,函数 func2() 是挂钩在 func1() 的函数!我们将函数 func1() 的前几个字节修改为 jmp func2,此时调用 func1() 的时候就会跳转到 func2(),简言之就是将被hook函数前五个字节修改为j...
win32 inline hook
07-31
Win32内联钩子是一种用于修改和拦截Windows操作系统API函数调用的技术。在计算机编程中,钩子是一种允许开发人员在特定事件发生时插入自定义代码的技术。 Win32内联钩子通过修改函数的原始代码,使其调用自定义代码...
x64 内核 InlineHook
qq_41490873的博客
06-27 972
需要使用LDE反汇编引擎 #include<ntddk.h> #include"LDE.h" #define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSW') #define kfree(_p) ExFreePool(_p) KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); UINT64 cr0 = __readcr0(); cr0 &= 0xff
Windows:32位Inline Hook
无名J0kзr的博客
03-13 830
文章目录什么是Inline Hook使用DLL实现对其他进程的Inline Hook 什么是Inline Hook Inline Hook,即内联钩子。 系统提供的API都保存在DLL文件中,当程序运行需要调用某个API时,它会隐式地将此API所在的DLL文件加载到其进程中。那么,如果我们使用一种方法,直接修改DLL中的API函数在内存中的映像,使API函数的首条代码为jmp MyFuncAddress这样就可以执行自己的函数了。 由于这种方法是直接在程序中嵌入jmp指令来实现Hook的,所以把它称为内联钩
学习windows 应用层 inline hook 原理总结
weixin_34354945的博客
04-08 164
inline hook 实际上就是指 通过改变目标函数头部的代码来使改变后的代码跳转到我们自己设置的一个函数里,产生hook。 今天就拿MessageBoxA这个api函数来做实验。功能就是当程序调用MessageBoxA 时,我们打印出MessageBoxA的参数   大概代码结构应该是这样 typedef int (WINAPI *MessageBox_type) ( ...
简述hook,并且解释在Win32系统下,如何使用hook编程
04-22
hook指出了系统消息处理机制。利用hook,可以在应用程序中安装子程序监视系统和进程之间的消息传递,这个监视过程是在消息到达目的窗口过程之前
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
Windows 64位和32位Inline Hook的例子。包括C语言代码,和封装好的C++类,绝对超值,超简单实用的例子,可以直接运行,用了绝对说好!
window消息机制和Hook介绍
04-29
WINDOWS的消息机制 hook介绍 HOOK链 钩子的作用范围 HOOK类型 回调函数(HOOK处理子过程) 钩子的安装/卸载
Winodws HOOK 之键盘钩子
firehood的专栏
07-21 2063
钩子(HOOK)是Windows消息处理机制的一个平台,应用程序以在上面设置子程以监视指定窗口的某种消息或键盘和鼠标事件等,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。
Windows核心编程_inlineHook
17岁boy的博客
05-28 1137
徐上一篇文章APIHOOK详解后,这篇文章我们写一个简单的Demo作为练习,一个Hook类,可以Hook当前进程下的所有API! 代码思路比上篇文章要清晰,简洁,这里就不做介绍了,因为上一篇文章已经介绍的很仔细了,本demo完全依照上一篇文章里的代码搬运而来 #include <windows.h> /* Hook类的实现 */ #define HOOK_THIS 0 //hoo...
WIN32钩子
weixin_33717298的博客
08-12 667
摘译自Win32 Hooks 作者:Kyle Marsh 本文描述钩子及其子MS Win32应用编程接口中的使用,讨论钩子函数、 过滤函数、以及以下类型的钩子: WH_CALLWNDPROC WH_CBT WH_DEBUG WH_FOREGROUNDIDLE WH_GETMESSAGE WH_JOURNALPLAYBA...
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 2619
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
win32-Hook技术简单了解
GoingJack博客
08-06 1234
//以下代码定义了一个简单的进程鼠标移动事件钩子 详细内容参考链接: https://www.bilibili.com/video/av57998681 关于如何创建一个Win32窗口的知识可参考:https://blog.youkuaiyun.com/qq_42418668/article/details/88917947 如何钩子的回调函数的返回值为1即代表消息不发送到操作系统为应用程序维护的消息...
按键Hook(Win32, C++)
FlameCyclone的博客
12-27 1074
前段时间学习windows 的HOOK 操作, 编写按键信息打印工具, 于是想着写一个工具类拦截按键并相应自定义的操作, 于是编写了下面这个 按键 HOOK 工具类. 实现的思路就是安装一个全局的按键钩子, 当按下组合键后, 先将拦截到的按键进行处理, 检查是不是我们关心的按键组合, 不是的话原路放行, 否则按照我们自定义的操作进行处理, 比方组合键按下时执行操作A, 按住不放3秒后执行操作B, 组合键弹起执行操作C等等操作, 基本上能满足绝大部分按键操作功能了.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值