一个简单的HOOK API的DLL

最新推荐文章于 2020-07-27 10:53:54 发布
最新推荐文章于 2020-07-27 10:53:54 发布
阅读量745 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: dll hook api winapi descriptor header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/blessyou312/article/details/1882218
本文介绍了一种在Windows环境下实现API Hook的技术方法,通过修改内存中的导入表来替换目标函数,实现对MessageBoxA函数的功能代理。具体步骤包括获取当前模块句柄、解析PE文件结构并遍历导入表。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include "windows.h"
#include "process.h"
#include "tlhelp32.h"
#include "stdio.h"

#pragma comment(lib,"th32.lib")

PIMAGE_DOS_HEADER pDosHeader;
PIMAGE_NT_HEADERS pNTHeaders;
PIMAGE_OPTIONAL_HEADER    pOptHeader;
PIMAGE_IMPORT_DESCRIPTOR pImportDescriptor;
PIMAGE_THUNK_DATA        pThunkData;
PIMAGE_IMPORT_BY_NAME    pImportByName;
HMODULE hMod;


// 定义MessageBoxA函数原型
typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);
int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType);

int * addr = (int *)MessageBoxA;     //保存函数的入口地址
int * myaddr = (int *)MessageBoxProxy;


void ThreadProc(void *param);//线程函数

//---------------------------主函数开始

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason,LPVOID lpvReserved)
{
    if(fdwReason==DLL_PROCESS_ATTACH)     
           _beginthread(ThreadProc,0,NULL);     

    return TRUE;
}


//结束进程的函数

void ThreadProc(void *param)
{
    //------------hook api----------------
     hMod = GetModuleHandle(NULL);//当前进程空间的模块句柄

     pDosHeader = (PIMAGE_DOS_HEADER)hMod;
     pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE *)hMod + pDosHeader->e_lfanew);
     pOptHeader = (PIMAGE_OPTIONAL_HEADER)&(pNTHeaders->OptionalHeader);
     pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((BYTE *)hMod + pOptHeader->DataDirectory[1].VirtualAddress);

    while(pImportDescriptor->FirstThunk)
    {
          char * dllname = (char *)((BYTE *)hMod + pImportDescriptor->Name);

           pThunkData = (PIMAGE_THUNK_DATA)((BYTE *)hMod + pImportDescriptor->OriginalFirstThunk);

          int no = 1;
          while(pThunkData->u1.Function)
          {
                char * funname = (char *)((BYTE *)hMod + (DWORD)pThunkData->u1.AddressOfData + 2);
                 PDWORD lpAddr = (DWORD *)((BYTE *)hMod + (DWORD)pImportDescriptor->FirstThunk) +(no-1);
          
                //修改内存的部分
                if((*lpAddr) == (int)addr)
                {
                    //修改内存页的属性
                     DWORD dwOLD;
                     MEMORY_BASIC_INFORMATION mbi;
                    VirtualQuery(lpAddr,&mbi,sizeof(mbi));
                    VirtualProtect(lpAddr,sizeof(DWORD),PAGE_READWRITE,&dwOLD);
                    
                    WriteProcessMemory(GetCurrentProcess(),
                                 lpAddr, &myaddr, sizeof(DWORD), NULL);
                    //恢复内存页的属性
                    VirtualProtect(lpAddr,sizeof(DWORD),dwOLD,0);
                }
                 no++;
                 pThunkData++;
          }

           pImportDescriptor++;
    }
}

//自己定义的方法
int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType)
{
    return       ((PFNMESSAGEBOX)addr)(NULL, "gxter_test", "gxter_title", 0);
    //可以写代码进程其它操作
}
 
blessyou312
关注
利用hook截获进程的API调用
Redspider的专栏
04-01 2662
截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明如下:HHOOK SetWindowsHookEx(  int idHook,        // hook type  HOOKPROC lpfn,
用户层下拦截系统api的原理与实现
默数悲伤
04-15 2184
  写这篇文章是为了复习一些知识,最近在做毕业设计,之中大量地使用了这种技术,主要是用在拦截winsock函数,对于其他系统api,其效果也是一样的.  拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要
Windows Dll注入与API HOOK
翻肚鱼儿的博客
07-27 681
DLL注入: 1. 使用注册表注入dll HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs AppInit_Dlls中设置待注入的dll绝对路径 LoadAppInit_Dlls值设为1 2. 使用Windows挂钩注入dll 需要使用SetWindowsHookEx函数,MSDN定义如下: HHOOK WINAPI SetWindowsHook...
Hook API (C++)
jiangxinyu的专栏
03-16 5083
一、基本概念:钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子
ApiHook.rar_APIHOOK.rar_DLL HOOK_api_hook.dll_dll_hook dll
09-20
"dll_hook"标签暗示了这个过程涉及到DLL的注入,这是将自定义代码放入另一个进程内存空间的方法。DLL注入通常是通过创建远程线程并传递DLL路径来实现的,这样目标进程就会加载并执行注入的DLL。 "Dll Hook"则是实现...
Hook_DLL.rar_api hook_hook dll_hook/dll_keyboard dll
09-20
一个应用程序尝试调用特定的API函数时,钩子可以捕获这个调用并采取行动,例如记录输入、改变行为或完全阻止调用。这种技术在软件调试、系统监控和安全应用中非常常见。 首先,我们需要了解什么是DLLDLL是...
HOOK_api.rar_Hook_api_detourapi_dll hook api_dll注入_注入 api hook
09-23
"Hook_api_detourapi_dll"暗示了其中可能使用了Detour库,这是一个由Microsoft Research开发的用于API钩子的工具,它允许开发者拦截和修改函数调用。 描述中提到“dll注入后拦截API”,这是指动态链接库(DLL)注入...
DELPHI编写HOOK API实现DLL全局钩子启动记事本的程序-DELPHI prepared HOOK API to a
01-09
DELPHI编写HOOK API实现DLL全局钩子启动记事本的程序-DELPHI prepared HOOK API to achieve the overall hook DLL procedures start Notepad
APIHOOK.2.0.src.rar_apihook2.0_apihooks.dll_fileop.dll_钩子函数
09-22
本压缩包"APIHOOK.2.0.src.rar"包含了一个名为"apihook2.0"的项目,它提供了"apihooks.dll"和"fileop.dll"两个动态链接库文件,以及相关的源代码,用于演示如何使用钩子函数。 API Hook是钩子技术的一种应用,主要...
AndroidHook机制——VirtualHook
精益求精
08-15 1273
对于Android应用安全研究人员来说,Xposed想必一定不陌生。作为一款流行的应用hook框架,Xposed允许对应用进行无感知的hook。许多实用工具,例如早期的脱壳工具Zjdroid,关闭证书强校验的JustTrustMe,Android恶意应用分析沙盒Cuckoo-Droid等,均是通过Xposed完成。然而,从Android 5.0时代起,DVM模式被ART模式取代,代码执行的机制进行...
HOOK API 的几种方式
lanmao0的博客
07-27 2211
**HOOK API** 是指截获特定进程或对某个API函数的调用,使得API的执行流程转向指定代码。 1、需要将可以代替API执行的函数的执行代码注入到目标进程 2、再将进程对该API函数的调用改为对注入目标进程中自定义函数的调用。第一种方式是采取DLL注入,将执行代码写入DLL中,使用钩子函数注入DLL、使用注册表注入DLL、使用远程线程注入DLL。第二种方式是修改模块的导入表,将API
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
chromedriver-linux64-141.0.7361.0(Canary).zip
最新发布
08-17
chromedriver-linux64-141.0.7361.0(Canary).zip
root-mlp-6.30.08-1.el8.tar.gz
08-17
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
rizin-common-0.7.4-5.el8.tar.gz
08-17
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
微软detoured.dll API Hook SDK使用简化
关于标签,“编译好的detoured.dll api hook sdk”不仅是一个标签,也是对于文件功能的直接描述,表明了文件的用途和状态。 压缩包子文件的文件名称列表揭示了SDK中包含的文件及其可能的作用: - detoured.dll:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值