想在你的程序中截住API函数吗?那就快看吧! (转)

最新推荐文章于 2023-01-30 19:34:25 发布
转载 最新推荐文章于 2023-01-30 19:34:25 发布 · 102 阅读 · 0

本文介绍了一种在程序中拦截API函数的方法,通过自定义函数func并利用apiSpy函数实现对特定API(如TextOutA)的拦截。为保持原有功能,需在自定义函数内调用原API。若要拦截整个系统的API,还需使用全局HOOK。
想在你的程序中截住API函数吗?那就快看吧! (转)[@more@]

在你的程序中做一个函数func(...)

调用 func1 = apiSpy(NULL,"GDI32.DLL","TextOutA",(PROC)func)

那么你的程序没次调用TextOut时,就会调用func 为了不破坏原有功能

请在func中调用func1。如果想截获整个系统的api,你需要做一个全局HOOK

在HOOK的DLL里的初始化时调用本函数。主要代码如下:

PROC WINAPI

ApiSpy(PSTR pDllUse,PSTR pDllName,PSTR pApiName,PROC pNewPorc)
{
  PIMAGE_DOS_HEADER pDosHeader;
  PIMAGE_NT_HEADERS pNTHeader;
  PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
  PIMAGE_THUNK_DATA pThunk;
  PROC pOldProc;
   Dword oldpr;
  static int Layer = 0;
  if ( pDllUse == NULL )
  Layer = 0;
  pOldProc = GetProcAddress( GetModuleHandle(pDllName),pApiName );
  if ( pOldProc == NULL )
  return NULL;
  pDosHeader = (PIMAGE_DOS_HEADER)GetModuleHandle(pDllUse); 
   if ( IsBadReadPtr(pDosHeader, sizeof(IMAGE_DOS_HEADER)) )
  return NULL;
  if ( pDosHeader->e_magic != IMAGE_DOS_SIGNATURE )
  return NULL;
  pNTHeader = MakePtr(PIMAGE_NT_HEADERS, pDosHeader, pDosHeader->e_lfanew);
  if ( IsBadReadPtr(pNTHeader, sizeof(IMAGE_NT_HEADERS)) )
  return NULL;
  if ( pNTHeader->Signature != IMAGE_NT_SIGNATURE )
  return NULL;
  pImportDesc = MakePtr(PIMAGE_IMPORT_DESCRIPTOR, pDosHeader,
  pNTHeader->OptionalHeader.
  DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].
  VirtualAddress);
  if ( pImportDesc == (PIMAGE_IMPORT_DESCRIPTOR)pNTHeader )
  return NULL;
 __try{
  while ( pImportDesc->Name ){
 PSTR pszModName = MakePtr(PSTR, pDosHeader, pImportDesc->Name);
 REM("[%s]",pszModName);
 if ( stricmp(pszModName, pDllName) == 0 ){
 pThunk = MakePtr(PIMAGE_THUNK_DATA, pDosHeader, pImportDesc->FirstThunk);
 while ( pThunk->u1.Function ){ 
 REM("[%s:%s]  ?  %s %8x ==> %8x",pDllName,pApiName,pszModName,
 // (DWORD)pOldProc,(DWORD)pThunk->u1.Function);
 if ( pThunk->u1.Function == (PDWORD)pOldProc ){
 if (!VirtualProtect(pThunk, 16, PAGE_READWRITE,&oldpr)){
 REM("VirtualProtect False");
 }
 REM("ApiSpy [%s:%s] OK !",pDllName,pApiName);
 pThunk->u1.Function=(PDWORD)pNewPorc;
 return pOldProc;
 }
 pThunk++; 
 } 
 return NULL;
 }
 else{
 if ( Layer < __Layer ){
 Layer ++;
 ApiSpy(pszModName,pDllName,pApiName,pNewPorc); 
 }
 }
 pImportDesc++;
 }
  }
 __except(TRUE){
 return NULL;
 }
  return NULL; 
}


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752043/viewspace-988138/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10752043/viewspace-988138/

csd3176
关注
让变更更可控、上线更从容:SAP 四系统 Landscape 的完整实践指南
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
10-23 57
摘要: 四系统Landscape(DEV/TST/QAS/PRE/PRD)通过增加预生产环境(PRE)和沙箱(SBX),解决三系统在密集变更、多项目并行时的痛点。PRE作为最终测试防线,确保发布前充分验证;SBX用于早期可行性评估。四系统支持分层测试、紧急修复与计划版本分离,并通过CTS/TMS与ChaRM实现严格传输管控。适用于复杂场景(如安全补丁、并行交付),但需权衡成本与接口复杂度。云部署建议隔离网络,按环境分配资源,确保PRE镜像生产配置。
双12使用腾讯云WAF反羊毛党、黄牛党战纪全记录
打造全国最全的AI Agent开发知识领域的博客
01-28 6541
近来拼多多爆出的羊毛党事件使得计算机信息安全再次被提到人们的面前,原本属于计算机安全学科中的“薅羊毛”这一专有名词也被众多普通人所熟知。通过拼多多事件还原我们得知它其实是一个非常简单的“低级错误”导致。 只需花费4毛钱就可以领取一张100元的无门槛优惠券,而不设“总量限制与单用户限制”。这一消息瞬间在薅羊毛行业内流传开来。凌晨5点左右,在羊毛党内部已经彻底发酵的“抢券行动”,被发布到了一些公开论...
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 1万+
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
在你的程序中截住API函数吗?那就看吧
uaiia的专栏
01-18 855
在你的程序中做一个函数func(...) 调用 func1 = ApiSpy(NULL,"GDI32.DLL","TextOutA",(PROC)func)那么你的程序没次调用TextOut时,就会调用func 为了不破坏原有功能请在func中调用func1。如果截获整个系统的api,你需要做一个全局HOOK在HOOK的DLL里的初始化时调用本函数。主要代码如下:PROC W
截获API
weixin_33810302的博客
03-25 306
截获API是个很有用的东西,比如你分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。 首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明 如下: HHOOK SetWindowsHookEx( int idHook, // hook type HOOKPROC lpfn, // h...
截取系统 API 调用
07-10 1141
在很多情况下,为了测试代码或扩展操作系统的功能,软件开发人员或测试人员必须截取系统函数调用。有一些软件包能够提供该功能,如微软公司的 Detours* 库,或 OK Thinking Software 的 Syringe*。但是从另一个角度而言,开发人员可能希望不需借助第三方软件,自己就能实现该功能。本文描述了函数截取的几种不同方式,并详细介绍了无需使用商业软件包,也不需受 GNU*(通用
如何看懂c语言的api函数,如何截获API函数
weixin_31301881的博客
05-20 370
我曾经写过一个截获MessageBoxW的程序,可以看看,或许对你有一些帮助.该程序是基于HOOK原理,主要是将自己的函数放到目标PROCESS的地址空间,这里是使用HOOK实现.首先建立一个MOUSE的HOOK程序,然后在全局鼠标HOOK的DLL中做截获动作,可以在PROCESS_ATTACH时做,也可以在鼠标的HOOK链函数中做.建立全局HOOK我就不说了,可以在网上很多地方看到.主要是截获动...
通信与网络中的M2M技术在交通安全系统中的应用
10-23
 通过使用现代物联网技术,可以在无需将合法载重的汽车截住称重的情况下,就能降低汽车超载的风险。德国一家专门生产特殊计量设备的公司CAT Traffic就推出了一种用于测量汽车超载的现代计量技术。
给你一个团队,你能怎么管?
俗科技的博客
01-30 1187
总结:作者认为一个好的团队的三个基本条件:自主性,思考性和协作。那么应该如何进行建设?为属下进行造梦(画大饼):梦可以无法得到,但绝不能没有。让属下为梦进行奋斗,以便通过自身努力获取大饼;给予团队荣誉感,让他们为身在这个团队而自豪;多和团队成员沟通,好的坏的,开心的难过的,而不应该仅仅局限于工作。1.沟通时,需要具有团队思维,总在尽可能尊重每一个人的意见。
如何使用VC++实现机器人足球比赛中截球动作的仿真?请结合SimuroSot和TheRobot Simulator详细说明。
最新发布
10-28
在VC++中,可以利用SimuroSot提供的API函数和TheRobot Simulator提供的动作控制函数库来实现上述步骤。需要注意的是,截球动作的实现需要结合实际的机器人参数和比赛场地条件,因此在仿真环境中多次测试和调整是必不...
API函数拦截
u014291956的专栏
12-26 963
在Windows中,我们有时需要拦截系统提供的API来实现某些特殊的功能,如针对不同的进程实现API权限控制或者监听用户输入输出,而API函数拦截就是实现这些功能的基础。其通过将系统函数替换为我们提供的函数,当进程内调用该函数时,系统自动调用我们替换后的函数,这样我们就可以实现不同的返回结果,但注意的是需要与系统函数相同的参数签名,否则会引起进程崩溃。关键技术点如下: 1)      根据MSD
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值