封装delphi Hook Api

最新推荐文章于 2024-03-31 09:46:57 发布
最新推荐文章于 2024-03-31 09:46:57 发布
阅读量3.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Delphi 文章标签: delphi hook api destructor constructor function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Rzhghost/article/details/2154338
本文介绍了一种在Windows环境下实现API Hook的技术方案,通过修改内存中的指令指针来替换原有的API函数,从而达到拦截和替换调用的效果。该技术利用了虚拟内存保护机制,并通过临界区确保线程安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

直接看代码

unit uApiHook;

interface

uses
  SysUtils, Windows, TlHelp32;

type
  PJmpCode = ^TJmpCode;
  TJmpCode = packed record
    JmpCode: BYTE;
    Address: Pointer;
    MovEAX: Array [0..2] of BYTE;
  end;

type
  TApiHookInfo = class
  private
    FCS:TRTLCriticalSection;
    FJmpCode: PJmpCode;
    FOldProc: PJmpCode;
    FLoadLib: Boolean;
    FDllHandle: THandle;
    FHookFun: Pointer;
    m_hProc: DWORD;
    FOldPoint: Cardinal;
    FbHook: Boolean;
    procedure SetPageWrite;
    procedure SetPageReadOnly;
  public
    FAddr: Pointer;
    constructor Create;
    destructor Destroy; override;
    function init(ADllName, AFunName: string; ANewFunPointer: Pointer):Boolean;
    procedure Lock;
    procedure UnLock;
    procedure Hook;
    procedure UnHook;
  end;

implementation

{ TApiHookInfo }

procedure TApiHookInfo.SetPageWrite;
begin
  if Win32PlatForm = VER_PLATFORM_WIN32_NT  then //判断是不是NT.
    VirtualProtect(FAddr, $F, PAGE_EXECUTE_READWRITE, FOldPoint);
end;

procedure TApiHookInfo.SetPageReadOnly;
begin
  if Win32PlatForm = VER_PLATFORM_WIN32_NT  then //判断是不是NT.
    VirtualProtect(FAddr, $F, FOldPoint, FOldPoint);
end;

constructor TApiHookInfo.Create;
begin
  InitializeCriticalSection(FCS);
  New(FJmpCode);
  New(FOldProc);
  FLoadLib := False;
  FDllHandle := 0;
  FHookFun := nil;
  FbHook := False;
end;

destructor TApiHookInfo.Destroy;
begin
  if FbHook then
    UnHook;
  if FLoadLib then
    FreeLibrary(FDllHandle);
  Dispose(FJmpCode);
  Dispose(FOldProc);
  DeleteCriticalSection(FCS);
  inherited;
end;

procedure TApiHookInfo.Hook;
var
  dwSize: Cardinal;
begin
  SetPageWrite;
  WriteProcessMemory(m_hProc, FAddr, FJmpCode, 8, dwSize);
  FbHook := True;
  SetPageReadOnly;
end;

function TApiHookInfo.init(ADllName, AFunName: string;
  ANewFunPointer: Pointer):Boolean;
var
  dwSize: DWORD;
begin
        FDllHandle := GetModuleHandle(PChar(ADllName));
        if FDllHandle = 0 then
  begin
    FDllHandle := LoadLibrary(PChar(ADllName));
    if FDllHandle = 0 then
    begin
                        Result := False;
      Exit;
    end
    else
            FLoadLib := True;
  end;
  //函数地址
        FAddr := GetProcAddress(FDllHandle, PChar(AFunName));
        if (FAddr = nil) then
  begin
    Result := False;
    Exit;
  end;
  //当前进程
        m_hProc := GetCurrentProcess();

        if (m_hProc = 0) then
  begin
    Result := False;
    Exit;
  end;
  //读当前进程中函数地址
  SetPageWrite;
  FJmpCode^.JmpCode := $B8;
  FJmpCode^.MovEAX[0] := $FF;
  FJmpCode^.MovEAX[1] := $E0;
  FJmpCode^.MovEAX[2] := 0;
  ReadProcessMemory(m_hProc, FAddr, FOldProc, 8, dwSize);
  FJmpCode^.Address := ANewFunPointer;
  WriteProcessMemory(m_hProc, FAddr, FJmpCode, 8, dwSize);
  SetPageReadOnly;
  Result := True;
end;

procedure TApiHookInfo.Lock;
begin
  EnterCriticalSection(FCS);
end;

procedure TApiHookInfo.UnHook;
var
  dwSize: DWORD;
begin
  SetPageWrite;
  WriteProcessMemory(m_hProc, FAddr, FOldProc, 8, dwSize);
  FbHook := False;
  SetPageReadOnly;
end;

procedure TApiHookInfo.UnLock;
begin
  LeaveCriticalSection(FCS);
end;

end.


使用方法:
var
  g_OpenProcess: TApiHookInfo;

function MyOpenProcess(dwDesiredAccess: DWORD; bInheritHandle: BOOL; dwProcessId: DWORD): THandle; stdcall;
begin
  g_OpenProcess.Lock;
  try
    g_OpenProcess.UnHook;
    try
      //你自己的一些代码
      Result := OpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
      //你自己的一些代码
    finally
      g_OpenProcess.Hook;
    end;
  finally
    g_OpenProcess.UnLock;
  end;
end;

procedure HookApi;
begin
  g_OpenProcess.init('kernel32.dll', 'OpenProcess', @MyOpenProcess);
end;

procedure UnHookAPI;
begin
  g_OpenProcess.Free;
end; 
delphi hook
08-28
delphi hook
delphi HOOK
04-01
delphi 写的HOOK示例。 通过API HOOK动态修改SOCKS传输数据包。
Delphi - 关于钩子函数HOOK
weixin_34327223的博客
12-26 331
                                                            Delphi - 关于钩子函数HOOK (1)基本概念钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理wi...
DELPHI --HOOK
delphicui的专栏
06-11 672
按事件分类,有如下的几种常用类型的钩子:  1)键盘钩子可以监视各种键盘消息。  2)鼠标钩子可以监视各种鼠标消息。  3)外壳钩子可以监视各种Shell事件消息。  4)日志钩子可以记录从系统消息队列中取出的各种事件消息。  5)窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。   安装钩子:SetWindowsHookEx  卸载钩子:UnhookWindowsHookEx钩子回调函数形
hook api for delphi
weixin_34095889的博客
11-10 117
有时候我们需要对其它应用程序发送和接收的网络数据进行拦截,比如要对IE发送的HTTP头进行分析,得到请求的地址等.这次我们可以用一些例如WPE, Sniffer之类的工具来达到目的.但是工具功能有限,要想实现更强大的功能,还是我们自己动手来DIY吧. 拦截网络数据封包的方法有三种,一是将网卡设为混杂模式,这次就可以监视到局域网上所有的数据包,二是HOOK目标进程的发送和接收的API函数,第...
APIHook.rar_APIHOOK_delphi 封包_封包_封包 delphi
09-22
在该文件中,开发者可能会定义一个或多个类,用于封装APIHook的功能,如注册钩子、拦截网络调用、解析和处理封包等。以下是一些可能的关键步骤: 1. **注册钩子**:使用SetWindowsHookEx函数设置钩子,以便在指定的...
Delphi APIHook封装与ADOHook实例解析
本标题提到的“DelphiAPIHook的简单封装”,意味着我们将探讨如何在Delphi封装API Hook的代码,使其更易于复用和管理。封装API Hook通常包括定义钩子函数、处理API调用前后的逻辑、以及确保钩子的正确安装和卸载...
DELPHI编写的HOOK API实现DLL全局钩子启动记事本的程序-.rar
08-27
DELPHI编写的HOOK API实现DLL全局钩子启动记事本的程序,是Windows系统编程中的一个典型示例,涉及到的知识点广泛而深入。这里主要介绍以下内容:DELPHI编程语言、HOOK技术、API调用、DLL动态链接库以及全局钩子的...
DelphiAPIHook的简单封装,带ADOHook的例子
04-24
最近想查某财务软件中连接字符串的密码,挂接了COM相关API,截取了ADO连接的连接字符串 不好意思,有点BUG,但不知道怎么删除资源
Delphi API Hook技术详解与源码分享
Delphi的某些第三方库或框架可能也提供了API钩子的封装和实现,以便于开发者使用。 5. DelphiApiHook 源码分析 DelphiApiHook 源码可能包含了用于创建API钩子的类库、方法和函数。源码中可能定义了与API钩子相关的...
delphi api hook
06-09
delphi api hook delphi api hook delphi api hook delphi api hook delphi api hook
Delphi Hook类代码收集
01-14
因为最近要转学C+,Delphi捣鼓了一年,收集了一些Hook资料,基本上常见的HOOK都涵盖了,这里扔出来给大家学习一下,希望对大家有用。
delphi钩子库
03-06
"武稀松"的钩子库,支持X86X64,使用简单,自带有demo
武希松大牛的dll Hook单元,delphi源代码加demo
05-05
delphi-hook-library, wr960204武稀松.2012.2 主页 http://www.raysoftware.cn 通用Hook库. 支持X86和X64. Get 使用了开源的BeaEngine反汇编引擎.BeaEngine的好处是可以用BCB编译成OMF格式的Obj, 被链接进Delphi的DCU和目标文件中.不需要额外带DLL. BeaEngin引擎 http://www.beaengine.org/ 限制: 1.不能Hook代码大小小于5个字节的函数. 2.不能Hook前五个字节中有跳转指令的函数. 希望使用的朋友们自己也具有一定的汇编或者逆向知识. Hook函数前请确定该函数不属于上面两种情况. 另外钩COM对象有一个技巧,如果你想在最早时机勾住某个COM对象, 可以在你要钩的COM对象创建前自己先创建一个该对象,Hook住,然后释放你自己的对象. 这样这个函数已经被下钩子了,而且是钩在这个COM对象创建前的.
Delphi - 关于钩子函数HOOK (二)
a572893208的博客
10-03 406
DELPHI编制钩子函数Windows消息管理机构提供了能使应用程序访问控制消息流所谓的钩子(HOOK)机制。钩子有多种,分别用于捕获某一特定类型或某一范围的消息。如:键盘消息,鼠标消息等。我们这里仅以键盘钩子的使用为例,讨论在DELPHI下怎样编写DLL程序和怎样在自己的程序中安装使用键盘钩子函数,并讨论了不同程序使用同一DLL文件时怎样共享数据。一...
【亲测免费】 DelphiHookUtils:一个强大的Delphi代码注入与调试工具
最新发布
gitblog_00043的博客
03-31 1216
DelphiHookUtils:一个强大的Delphi代码注入与调试工具 项目简介 是一个由开发者 DelphiLite 创建的开源项目,它提供了一套方便、高效的API和示例,用于在Delphi应用程序中实现钩子(Hook)功能,包括函数拦截、内存修改等高级调试技术。这个项目的目的是帮助Delphi开发者更轻松地进行代码分析、性能优化、错误排查,甚至是开发辅助工具。 技术解析 DelphiHook...
DELPHI-HOOK钩子
fjclc2008的专栏
06-06 1262
HOOK可以截获进程消息,下面是相关函数:Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生
Delphi写的一个函数的Hook
编程资料收集与共享交流
11-26 1048
 unit HookFuncLib;interfaceuses Windows,SysUtils,Classes;const CHookJump_LEN = 5; //要修改的函数的跳转5字节,一个Jmp指令,一个函数地址type TFuncHookList = class; TFuncHook = class private OldProtect
DelphiHook技术全接触
njhhack的专栏
06-27 1907
看到有的兄弟说Delphi下的Hook不好做,所以在下把每个Hook都在Delphi做了一下,觉得没啥问题,而且处理的方法较新颖,拿来让兄弟们探讨,关于hook问题,有不懂的问我就行,不过有的Hook我只做了个框架,没有具体实用作用,要做的兄弟自已完善就行了,呵呵,代码在下面,自已看啦.......... -------------------------------------------  
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值