HOOK WINDOWS API 一例

最新推荐文章于 2020-10-25 17:15:50 发布
最新推荐文章于 2020-10-25 17:15:50 发布
阅读量1.5k 收藏
点赞数
分类专栏: C & VC & WIN32API 文章标签: hook windows null descriptor dll import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hcmsxy/article/details/2669701
版权 
 
// godll.cpp : 定义 DLL 应用程序的入口点。
//

#include "stdafx.h"
#include 
 
 
  
  
#pragma   comment(lib,"ImageHlp.lib")

 

#pragma data_seg(".mydata")
POINT g_point;
int g_px=-1;
int g_py=-1;
#pragma data_seg()
#pragma comment(linker, "/SECTION:.mydata,rws")

HANDLE g_hInstance = NULL;
PROC bak_addr = NULL;

 

 
BOOL WINAPI MyGetCursorPos(
  LPPOINT lpPoint   // address of structure for cursor position
  ){
   if(g_px == -1 ){
    typedef BOOL (WINAPI *OldGetCursorPosFun)(LPPOINT);
    OldGetCursorPosFun ofun = (OldGetCursorPosFun)bak_addr;
    ofun(lpPoint);
   }else{
    lpPoint->x = g_px;
    lpPoint->y = g_py;
   }

   return TRUE;
}

 


extern "C" __declspec(dllexport)
void GetPoint(LPPOINT p){
 p->x = g_px;
 p->y = g_py;
}


extern "C" __declspec(dllexport)
void SetPoint(LPPOINT p){
 g_px = p->x;
 g_py = p->y;
}

 

 


//hook api
//PCSTR modelStr : model 名称. 如 NULL 、 objsys.dll
//PCSTR byHookDllStr: model 内的 dll 名称. 如User32.dll
//PCSTR byHookFunStr: 被hook api 的名称
//PROC pfnNew  : 替代函数的地址
//返回旧函数 的址。
//extern "C" __declspec(dllexport)
PROC HookApi(PCSTR modelStr , PCSTR byHookDllStr , PCSTR byHookFunStr , PROC pfnNew){

 //读取 model 基地址
 LPVOID base = (LPVOID)GetModuleHandleA(modelStr);
 if(base == NULL){
  //MessageBoxA(NULL,"find model base addr err!",modelStr,0);
        return NULL;
 }
 
 //找到该 dll 的IAT
 ULONG ulSize;
 PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(base,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&ulSize);

 if( pImportTable == NULL ){
  MessageBox(NULL,L"pImportTable is null",NULL,0);
        return NULL;
 }

 //在 ImportTable 中 找到需要  hook 的 dll
    for(;pImportTable->Name;pImportTable++){
        PSTR pszModName = (PSTR) ( (PBYTE)base + pImportTable->Name );
        if( lstrcmpiA( pszModName, byHookDllStr ) == 0 )
   break ; // if found
    }

 if( pImportTable->Name == 0 ){
  MessageBoxA(NULL,"not found by hook dll. ",byHookDllStr,0);
        return NULL;
    }

 PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((PBYTE)base + pImportTable->OriginalFirstThunk);
 PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA) ( (PBYTE)base + pImportTable->FirstThunk );
    for( ;pThunk->u1.Function;pThunk++,pOrigThunk++){
  PROC *ppfnEntry = (PROC*) &(pThunk->u1.Function);
  PROC bak = (PROC)(*ppfnEntry);

  PIMAGE_IMPORT_BY_NAME pByName =(PIMAGE_IMPORT_BY_NAME)((PBYTE)base + pOrigThunk->u1.AddressOfData);
  if(lstrcmpiA((char*)pByName->Name , byHookFunStr) == 0) {

   MEMORY_BASIC_INFORMATION memInfo; 
   VirtualQuery( ppfnEntry, &memInfo, sizeof( memInfo ));

   DWORD dwOldProtect = 0;
   if(VirtualProtect(memInfo.BaseAddress,memInfo.RegionSize,PAGE_READWRITE,&dwOldProtect)==0){
    MessageBox(NULL,L"VirtualProtect[1] is Err!",NULL,0);
    return NULL;
   }
    
   if(WriteProcessMemory(GetCurrentProcess(),ppfnEntry,&pfnNew,sizeof(pfnNew),NULL) == 0){
    MessageBox(NULL,L"WriteProcessMemory Err!",NULL,0);
   } 
    
   if(VirtualProtect(memInfo.BaseAddress,memInfo.RegionSize,PAGE_READONLY,&dwOldProtect )==0){
    MessageBox(NULL,L"VirtualProtect[2] is Err!",NULL,0);
   }  
 
   return bak;
        }  
    }

 //MessageBox(NULL,L"not found PIMAGE_THUNK_DATA",NULL,0);
 return NULL;
}

 

 


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  reason,
                       LPVOID lpReserved
      )
{

 switch (reason){

  case DLL_PROCESS_ATTACH:

   g_hInstance = hModule;
   if(bak_addr==NULL){
    bak_addr = HookApi("objsys","user32.dll","GetCursorPos",(PROC)MyGetCursorPos); 
    //bak_addr = HookApi(NULL,"user32.dll","GetCursorPos",(PROC)MyGetCursorPos); 
   }
    
   break;

  case DLL_PROCESS_DETACH:   //当 dll 卸载 时 需要恢复, 原 dll 功能地址
   if(bak_addr!=NULL){
    //HookApi(NULL,"user32.dll","GetCursorPos",bak_addr); 
    HookApi("objsys","user32.dll","GetCursorPos",bak_addr); 
    bak_addr = NULL;
   }
   break;
 }

 return TRUE;
}
使用GO语言调用Windows API
runhua的专栏
08-01 6318
一、背景 为了更好兼容Windows,有时候需要直接在Go程序里面去调用Windows系统的API,比如在Go程序里面直接控制Windows窗口。 二、环境搭建 Windows下GO的下载、安装和配置 Windows下GO的下载、安装和配置可参考: GO语言下载、安装、配置 使用Visual Studio Code来搭建GO开发环境 采用微软开源的Visual Studio C...
WindowsWINAPI HOOK实现方法 及 C++源码
Kaller的博客
10-26 1791
C++代码 及Demo // APIHook.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include "string.h" #include "windows.h" using namespace std; struct StructAPIHook { string DLLName; string APIName; string DLLAnd...
API HOOK 全局钩子, 防止进程被杀
03-22
API拦截 防止进程被控制台杀死. 用的是全局钩子 通过修改进程的导入表修改OpenProcess的地址指向我们自定义的函数
Hook Windows API调用 C++
MusicMan
05-06 1411
// dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "pch.h" //old data typedef BOOL(WINAPI *pProcessInternalW)(HANDLE hToken, LPCWSTR AppName, LPWSTR CmdLine, LPSECURITY_ATTRIBUTES ProcessAttr, LPSECURITY_A...
Windows HOOK钩子技术
qq_43812868的博客
10-25 2664
Windows HooK钩子技术是指基于Windows中窗口的程序的消息处理里机制,对系统或者进程中的消息进行截获和处理,并将截获和处理的消息在重新处理和发送,使其可以实现不同的功能。 钩子技术分为系统钩子技术和线程钩子技术 系统钩子:是用于监视真个系统中的消息的钩子技术,因为系统钩子会影响系统中所有的应用程序,所以钩子函数必须放在独立的动态链接库(DLL) 中。做好之后使用其他程序将钩子挂载到系统的进程中。 线程钩子:指的是对指定线程进行监视。 钩子原理 在使用钩子技术的时候,WINDOWS会先在内存中创
测试11_hookapi_TerminateProcess_pleasurejx5_源码
10-04
使用EasyHook列举实例,加深对齐理解。
HOOK IAT 代码示例
S1lenc3的博客
07-11 113
// include #include "stdio.h" #include "wchar.h" #include "windows.h" // typedef typedef BOOL(WINAPI* PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString); // globals FARPROC g_pOrgF...
Hook Windows API
03-14
在本例中,我们关注的是"Hook Windows API",即在Windows操作系统环境下,通过Hook API函数来实现对系统功能的控制或监控。 Windows APIWindows操作系统提供的一系列接口,供开发者调用来实现各种功能,如文件...
API-Hook.rar_api hook_hook_hook api_对api进行hook
09-20
在本例中,我们将讨论如何对`MessageBoxW`函数进行API Hook。 `MessageBoxW`是Windows API中一个用于显示警告或确认消息的函数,它使用Unicode字符串。当你对`MessageBoxW`进行Hook时,你可以在实际调用该函数之前...
apihook.rar_hook api
09-24
在本案例中,"apihook.rar_hook api" 提供了一个使用C++实现的API Hook示例,这对于理解和实践Hook编程具有很高的学习价值。 首先,让我们深入理解API Hook的概念。API(Application Programming Interface)是操作...
hook_hookapi_hook_源码
10-04
Hook技术深度解析:以Hook_API为例》 在IT领域,Hook技术是一种强大的工具,它允许程序员拦截并处理系统中的特定事件或函数调用。在本文中,我们将深入探讨Hook技术,特别是针对API(应用程序接口)的Hook,通过...
APIHook例子 hook api
06-06
本例中,"ApiHook"很可能使用了上述的一种或多种技术,特别是在Winsock API调用中,如`socket`, `connect`, `send`, `recv`等函数。通过Hook这些函数,我们可以记录网络活动、修改发送的数据、延迟或阻止连接等。 ...
通过hook技术,模拟鼠标的操作
11-07
通过hook windows的鼠标消息,实现拦截以及模拟鼠标动作
GetCursorPos获取鼠标坐标
无知人生,记录点滴
06-19 2075
GetCursorPos(&amp;point); CRect rc; rc.left=0; rc.top=70; rc.right= rc.left+50; rc.bottom= rc.top+200; if(rc.PtInRect(point)) { Cffdlg *pki=new Cffdlg...
C/C++:Windows编程—IAT Hook实例(程序启动拦截)
重庆李四
01-08 3483
C/C++:Windows编程—IAT Hook实例(程序启动拦截) 前言+思路 本文默认读者有IAT Hook的相关的基础知识了哈,记录笔者在IAT Hook实战中遇到到问题以及解决思路。 笔者想实现一个功能能够拦截到程序的启动。经过调研,大多程序如果是通过双击或者鼠标启动的 一般都是有 Windows资源管理器explorer.exe进程进行创建的。最近刚好学习了IAT Hook就用IAT H...
Delphi - 关于钩子函数HOOK
weixin_34327223的博客
12-26 316
                                                            Delphi - 关于钩子函数HOOK (1)基本概念钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理wi...
获取鼠标坐标GetCursorPos
热门推荐
hellokazhang的博客
08-03 1万+
下面这个例子是获取屏幕的坐标: #include #include LRESULT CALLBACK WindowProc( HWND hwnd, // handle to window UINT uMsg, // message identifier WPARAM wParam, // first message parameter
易语言APIHOOK编程技巧与源码解析
APIHook(应用程序编程接口钩子)是一种常见的编程技术,用于拦截对特定API函数的调用,这样可以在实际调用前后执行其他代码,从而达到控制或修改程序行为的目的。通过API Hook技术,开发者能够实现诸如防病毒、游戏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值