Win32汇编注入:APIHook

最新推荐文章于 2025-01-07 22:19:09 发布
原创 最新推荐文章于 2025-01-07 22:19:09 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了API Hook技术,特别是针对Win32汇编的注入过程。内容包括理解API的A和W版本、钩子代码如何定位在API的前5字节、递归hook的解决方案、内存属性修改以及重定位问题。通过示例,阐述了APIHook的完整流程,从获取API地址、创建目标进程、申请内存到编写和注入代码,最终展示Hook的效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1,APIHook

概述:概述:注入windows画图工具(32位),让画图工具启动后,只要画图工具调用要hook的api,就能弹出一个对话框;以上关键使用APIHook;
APIHook也是杀软主动防御的一个基础;

2,提前搞清楚几个问题

2.1 A和W版本

WindowsAPI有A和W版本,如果使用A版本,A版本最后还是会调用W版本,所以尽可能hook的是W版本;这里涉及到其他问题:比如安全软件也会apihook,但是它调用的是更加底层的0环,即使在现在我们正在关注的3环,它也有可能apihook的地方不是api头5字节,而是后面,或者不是A版本,而是W版本,反正就是要在更后面hook,这样才能准确监控;

2.2,api头5字节

hookApi的地方:api头5字节:
api头5字节
微软有可能自己打热补丁,可以做一些修复的事情;为什么选择:因为,这里5字节所有公开的api都一样,可以做到通用;api头5字节进行hook,使用的jmp XXX,跳转到自己注入的代码里,自己的代码使用Jmp跳转回api;

2.3 递归hook的问题:

比如hook 的api是MessageBoxA,注入的代码是调用MessageBoxA,这样一来就会递归,所以,应该使用标志位来解决,这里有个问题:标志位所在地方是注入进程的code区,需要改可写属性;

2.4 改内存属性的问题:

有几个地方要注意,一个是要注入的代码,在本进程中归属code区,有些时候需要往里面写入计算的数据(本例子是写入g_pfnMessageBox == MessageBoxA的绝对地址7740FDAE),所以这里需要修改这段代码可读可写;
还有这段代码注入到对方进程后,在对方进程中,这段代码有标志位的写入,也得再次改内存属性;
Api的内存属性也需要修改,但是最好用完后还原内存属性;

2.5 重定位的问题:

为什么要重定位, 因为我们在注入工具中写好的代码是要放在目标中运行的, 而我们写入目标的代码如果我们直接调用API或全局变量是当前我们注入工具中的绝对地址值, 放到目标中就不同了;
一般来说,注入的代码直接是否有写入绝对地址值,如果有,就有重定位问题;
重定位模板:

    call CODE
    CODE:
    pop ebx
    sub ebx, offset CODE

这里写图片描述
我们需要动态获取目标代码的API或全局变量的实际地址值, 通过重定位首地址, pop ebx后在ebx中获得, 减去offset NEXT(在自身注入工具中的偏移), 这就得到了个偏差值;我们再通过loadliabrary, getprocA得到方法的调用地址, 或者全局变量的地址, 他们相对于我们pop ebx的位置偏移是个固定值, 在目标进程中相对于pop ebx的位置也是这个固定值;

问题: 这种重定位方法仅适合本地重注入, 所以这种方法我们命名为本地重定位。本地注入指的是 注入进程和目标程序是同一台机器。
wapi

最低0.47元/天 解锁文章

200万优质内容无限畅学
一个win32下的api hook方案
FreeWave's space
09-04 1009
api hook还是挺常用的, 成熟的方案有微软自己的,  支持32位Detours。  还有支持32位、64位的开源库MHook。     按照MHook的api, 自己仿造了一个简化的, 用作学习。   只支持32位的, 要改成64位的话, 要对shellcode进行改写。 思路: 改写函数前面的机器码, 跳转到自己的函数。 要调用原函数时, 先写回原来函数的机器码, 再调用原函数, 调用
[Win32] API Hook(1)在32位系统上的实现
zuishikonghuan的博客
08-25 9480
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: API Hook技术,虽然很老了,但是依旧是很有用的技术,同时网上的资料往往不能直接拿过来用,c语言的太少。这回呢,我要用C语言来完整的编写一个Win32SDK编程的API Hook源码,但是我还是用cpp保存编译,为哈?因为微软对c语言标准支持的很不好,我不知道vs2013支持c
C++ Win32 API Hook类
weixin_30682415的博客
12-20 249
HookApi.h #include <windows.h> #ifndef _HOOKAPI_H #define _HOOKAPI_H class CHOOKAPI { public: LPVOID pOldFunEntry, pNewFunEntry ; // 初始函数地址、HOOK后的函数地址 BYTE bOldByte[5...
基于VS2008 写的 Win32 API HOOK 模板
06-30
支持WINDOWS 32位操作系统 非常方便,这个是个HOOK 的模板,你可以直接传递要HOOK的API 然后在定义一个处理过程就可以了 有一个例子 请自己查看!
WIN32汇编实现进程导入表HOOK API
u010416927的专栏
06-05 857
;**************************************************** ;DevName:进程导入表API_HOOK ;开发者:GhostHand ;**************************************************** .386 .
Win32汇编学习笔记06.APIHook
最新发布
彭于晏长沙分晏
01-07 835
api hook 称为 api 钩子,也称为 内联apihook我们程序使用时,有时候需要获得程序的一些其他信息,例如,网络发包是获得包数据,打开文件时,获得文件信息等,这是,我们就可以给这些api下个钩子,当他操作时可以把它的数据抓下来,保存钩子类似起监控作用网络,文件,注册表自己实现需要进内核API Hook简介:API Hook 是通过拦截 Api 的调用,使其流程转移到我们指定的地方,同时为了保持原有程序的健壮性,需要执行完我们流程后再转移会自身的流程。
Win32汇编:DLL远程注入与卸载实战
Win32汇编实现DLL的远程注入及卸载是一种高级编程技术,通常用于软件开发中的特定场景,如输入法、外挂或安全测试等。本文主要讲解如何通过Win32汇编语言来实现DLL(动态链接库)的远程注入和卸载。 1. DLL远程注入...
使用Win32汇编实现Windows API钩子技术测试
Windows API和Win32汇编语言: Windows API(Application Programming Interface)是一套提供了应用程序开发界面的函数库,它包括了操作系统提供的各种服务和功能,例如文件操作、图形界面、网络通信等。Win32汇编...
Hook Win32 API 的应用研究之四:屏幕取词
eagletian的专栏
11-08 2550
用过金山词霸吧?用过的人一定对它的屏幕取词功能印象很深刻,因为这种功能使翻译过程更加简便快捷,屏幕取词是金山词霸的核心技术之一。    大家有没有想过这样神奇的功能是如何实现的呢?经历过DOS年代系统编程的人可能知道,屏幕上显示的字符是存放在显存里的,每个坐标的字符对应显存的一个特定的现存单元存储的字符,直接操作显存,就可以进行字符的显示和读取,若WINDOWS是这样就好了,可惜事实上相去甚远。那
关于 Hook Win32 API 的一点研究
xqhrs232的专栏
12-01 554
原文地址::http://blog.youkuaiyun.com/eagletian/article/details/1374028 相关文章 1、  Hook Win32 API 的应用研究之一:网络监控----http://blog.youkuaiyun.com/eagletian/article/details/1374033 2、  Hook Win32 API 的应用研究之
简述hook,并且解释在Win32系统下,如何使用hook编程
04-22
hook指出了系统消息处理机制。利用hook,可以在应用程序中安装子程序监视系统和进程之间的消息传递,这个监视过程是在消息到达目的窗口过程之前
WIN32 API大全中文帮助文档
01-30
WIN32 API函数速查手册,适合初学者使用。很方便的WIN32 API函数帮助文档,大小只有不到2MB,希望可以帮到你们。
Win32汇编实现DLL的远程注入及卸载
01-23
Win32汇编实现DLL的远程注入及卸载
Windows环境下32位汇编语言程序设计中13章的远程注入dll的例子
05-09
Windows环境下32位汇编语言程序设计中13章的远程注入dll的例子
汇编插件keystone0.9.1pythonwin32官方安装版
08-02
keystone是一个轻量级的多平台、多体系结构的Python汇编程序框架。基于LLVM,这里提供keystone-0.9.1-python-win32,需要的朋友可下载试试! keystone-0.9.1-python-win64.msi下载 突出特色: 多层架构,支持ARM,ARM64(ARMv8 AArch64 /)、Hexagon,、MIPS、PowerPC、SPARC、系统的Z,和
Win32汇编笔记——窗口创建API函数
吴立赛的博客
10-11 808
1.模块的概念 一个模块代表的是一个运行中的exe文件或dll文件,用来代表这个文件中所有的代码和资源,用来代表这个文件中所有的代码和资源,磁盘上的文件不是模块,装入内存后运行时就叫做模块。一个应用程序调用其他DLL中的API时,这些DLL文件被装入内存,就产生了不同的模块,为了区分地址空间中的不同模块,每个模块都有惟一的模块句柄来标识。 2.句柄 句柄只是一个数值,它的值对程序来说是没有意义的,...
自己写的一个HOOKAPI的汇编例子
xbin1981的博客
06-07 857
;************************************************ ;程序作者:晓斌 ;QQ:6750333        xbin1981 ;************************************************ .586 .model flat, stdcall option casemap :none include w
API Hook基本原理和实现
创世元年
11-13 1568
 API Hook基本原理和实现[图文] hook是什么?     windows系统下的编程,消息message的传递是贯穿其始终的。这个消息我们可以简单理解为一个有特定意义的整数,正如我们看过的老故事片中的“长江长江,我是黄河”一个含义。windows中定义的消息给初学者的印象似乎是“不计其数”的,常见的一部分消息在winuser.h头文件中定义。hook与消息有着非常密切的联系,它的
win32 汇编基础
飞叶如刀
01-31 2720
一、关于寄存器 寄存器有EAX,EBX,ECX,EDX,EDI,ESI,ESP,EBP等,似乎IP也是寄存器,但只有在CALL/RET在中会默认使用它,其它情况很少使用到,暂时可以不用理会。 EAX是WIN32 API 默认的返回值存放处。 ECX是LOOP指令自动减一的寄存器。 ESP是堆栈指针。 EBP经常用来在堆栈中寻址。 ESI好像常常用在指针寻址中,EDI不大清楚。 二、关
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值