Win2K下的Api函数的拦截

最新推荐文章于 2021-05-20 14:04:38 发布
最新推荐文章于 2021-05-20 14:04:38 发布
阅读量600 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: vc++ 文章标签: api dll hook null thread access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huangchonghai/article/details/1574141
本文介绍在Windows 2000环境下如何利用VirtualProtectEx、WriteProcessMemory及ReadProcessMemory等API实现对系统API函数如MessageBoxA的动态拦截。通过远程注入钩子函数并修改目标进程内存的方法,使得在不修改原始可执行文件的情况下实现API拦截。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数的拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法,虽然很古老,却很简单实用。
    本文一介绍第二种方法在Win2k下的使用。第二种方法,Win98/me 下因为进入Ring0级的方法很多,有LDT,IDT,Vxd等方法,很容易在内存中动态修改代码,但在Win2k下,这些方法都不能用,写WDM太过复杂,表面上看来很难实现,
其实不然。Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为:
         BOOL VirtualProtectEx(
                               HANDLE hProcess,     // 要修改内存的进程句柄
                               LPVOID lpAddress,    // 要修改内存的起始地址
                               DWORD dwSize,        // 修改内存的字节
                               DWORD flNewProtect,  // 修改后的内存属性
                               PDWORD lpflOldProtect  // 修改前的内存属性的地址
                                );
        BOOL WriteProcessMemory(
                               HANDLE hProcess,  // 要写进程的句柄
                               LPVOID lpBaseAddress,  // 写内存的起始地址
                               LPVOID lpBuffer,  // 写入数据的地址
                               DWORD nSize,      // 要写的字节数
                               LPDWORD lpNumberOfBytesWritten  // 实际写入的子节数
                               );
       BOOL ReadProcessMemory(
                               HANDLE hProcess,  // 要读进程的句柄
                               LPCVOID lpBaseAddress,   // 读内存的起始地址
                               LPVOID lpBuffer,  // 读入数据的地址
                               DWORD nSize,      // 要读入的字节数
                               LPDWORD lpNumberOfBytesRead    // 实际读入的子节数
                                );
具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间,这点又和Win9x/me存在所有进程存在共享的地址空间不同,
因此,必须通过钩子函数和远程注入进程的方法,现以一个简单采用钩子函数对MessageBoxA进行拦截例子来说明:
其中Dll文件为:
         HHOOK g_hHook;
          HINSTANCE g_hinstDll;
          FARPROC pfMessageBoxA;
          int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType);
          BYTE OldMessageBoxACode[5],NewMessageBoxACode[5];
          HMODULE hModule ;
          DWORD dwIdOld,dwIdNew;
          BOOL bHook=false;
          void HookOn();
          void HookOff();
          BOOL init();
LRESULT WINAPI MousHook(int nCode,WPARAM wParam,LPARAM lParam);
BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
            if(!init())
            {
                          MessageBoxA(NULL,"Init","ERROR",MB_OK);
                          return(false);
            }
        case DLL_THREAD_ATTACH:
        case DLL_THREAD_DETACH:
        case DLL_PROCESS_DETACH:
                      if(bHook) UnintallHook();  
                    break;
    }
    return TRUE;
}
LRESULT WINAPI Hook(int nCode,WPARAM wParam,LPARAM lParam)//空的钩子函数
{
    
    return(CallNextHookEx(g_hHook,nCode,wParam,lParam));
}
HOOKAPI2_API BOOL InstallHook()//输出安装空的钩子函数
{  
   g_hinstDll=LoadLibrary("HookApi2.dll");
   g_hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)Hook,g_hinstDll,0);
  if (!g_hHook)
  {
        MessageBoxA(NULL,"SET ERROR","ERROR",MB_OK);
        return(false);
   }
  
          
   return(true);
}
HOOKAPI2_API BOOL UninstallHook()//输出御在钩子函数
{
  
    return(UnhookWindowsHookEx(g_hHook));
}

BOOL init()//初始化得到MessageBoxA的地址,并生成Jmp XXX(MyMessageBoxA)的跳转指令
{
    hModule=LoadLibrary("user32.dll");
    pfMessageBoxA=GetProcAddress(hModule,"MessageBoxA");
    if(pfMessageBoxA==NULL)
      return false;
    _asm
    {
        lea edi,OldMessageBoxACode
        mov esi,pfMessageBoxA
        cld
        movsd
        movsb
    }
    NewMessageBoxACode[0]=0xe9;//jmp MyMessageBoxA的相对地址的指令
    _asm
    {
        lea eax,MyMessageBoxA
        mov ebx,pfMessageBoxA
        sub eax,ebx
        sub eax,5
        mov dword ptr [NewMessageBoxACode+1],eax
    }
    dwIdNew=GetCurrentProcessId(); //得到所属进程的ID
    dwIdOld=dwIdNew;
    HookOn();//开始拦截
    return(true);
}

int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption, UINT uType )//首先关闭拦截,然后才能调用被拦截的Api 函数
{   
    int nReturn=0;
    HookOff();
    nReturn=MessageBoxA(hWnd,"Hook",lpCaption,uType);
    HookOn();
    return(nReturn);
}
void HookOn()
{
    HANDLE hProc;
    dwIdOld=dwIdNew;
    hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);//得到所属进程的句柄
    VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为可写
    WriteProcessMemory(hProc,pfMessageBoxA,NewMessageBoxACode,5,0);//将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA
    VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为原来的属性
    bHook=true;
}
void HookOff()//将所属进程中JMP MyMessageBoxA的代码改为Jmp MessageBoxA
{
    HANDLE hProc;
    dwIdOld=dwIdNew;
    hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);
    VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);
    WriteProcessMemory(hProc,pfMessageBoxA,OldMessageBoxACode,5,0);
    VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);
    bHook=false;
}
//测试文件:
int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
    
    if(!InstallHook()) 
    {
        MessageBoxA(NULL,"Hook Error!","Hook",MB_OK);
        return 1;
    }
     MessageBoxA(NULL,"TEST","TEST",MB_OK);//可以看见Test变成了Hook,也可以在其他进程中看见
    if(!UninstallHook()) 
    {
        MessageBoxA(NULL,"Uninstall Error!","Hook",MB_OK);
        return 1;
    }
    return 0;
} 
win2k-xp进程隐藏.rar
11-01
- 对于开发者而言,可以通过调用Windows API函数来隐藏进程。比如,使用`SetProcessPriorityBoost`和`SetProcessWorkingSetSize`等函数可以改变进程属性,使其在任务管理器中不易被察觉。更高级的技巧可能涉及到...
WIN2K-NT-XP-监视文件系统过滤驱动程序的驱动程序原代码
10-30
《深入解析WIN2K-NT-XP文件系统过滤驱动程序》 在Windows操作系统环境中,文件系统过滤驱动(File System Filter Driver)是一种强大的技术,用于在操作系统内核层对文件系统操作进行监控和干预。本篇将围绕“WIN2K...
c语言win api函数,Win2K下的Api函数拦截
weixin_39858245的博客
05-20 204
这么多高手在这里,哎,小弟愿意向各位高手学习。Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法,虽然很古老,却很简单实用...
【转载】Win2K下地Api函数拦截 VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory
mangshe0的专栏
07-03 712
Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法,虽然很古老,却很简单实用。 本文一介绍第二种方法在Win2k下的使用。...
Win2K下的Api函数拦截 (转)
csd3176的博客
12-12 99
Win2K下的Api函数拦截 (转)[@more@]Win2k下的api函数拦截简介:Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数拦截,不外乎两种方法,第一种是Mr. Jeffre...
Windows2000下Api函数拦截分析
diligentcat的专栏
12-17 642
Windows2000下Api函数拦截分析 来源:网络 作者: 查看:[大字体 中字体 小字体] 编辑:napl   简介:   Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而
Windows 2000下Api函数拦截分析
chenxigui的专栏
04-09 258
简介:   Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法,虽然很古老,却很简单实用。   本文一介绍第二种方法在Wi
揭示win32 api拦截细节
挨踢生涯
03-09 4196
拦截win32 API 调用对于多数windows开发人员来说一直都是很有挑战性的课题,但我承认,这也是我喜欢的课题之一。钩子机制表现为用一种底层技术控制特定代码段的执行,它也提供了一种直观的机制,可以很容易改变操作系统的行为,而并不需要涉及到操作系统的代码。这跟一些第三方产品类似。    许多系统都致力于通过拦截技术(spying techniques)来控制利用现有windows应用程序。
.NET中的全局可拦截程序和系统挂钩
04-11
开发者需要定义对应的函数原型,并在托管代码中调用非托管的API函数,如`SetWindowsHookEx()`来安装钩子。 3. **Hook类型**:Windows提供了多种钩子类型,例如WH_KEYBOARD_LL(低级别键盘钩子)、WH_MOUSE_LL(低...
api.rar_remote
09-23
描述中提到的“Microsoft Speech API ActiveX control Remote BoF Exploit (win2k sp4)”进一步确认了这个安全问题,它影响的是运行Windows 2000 Service Pack 4的操作系统。 API(应用程序接口)是软件系统之间...
掌握.NET全局钩子:系统拦截技术详解
标签中提到的各个操作系统版本(WinXP、Win7、Win8、Win2K、Win64、Win32)和开发工具(VS2013)都表明了在不同环境下实现和使用全局挂钩的兼容性和适用性问题。开发者需要确保在不同的平台上,调用的API和方法能够...
vc++启动和停止服务
04-25 8936
包含头文件:#include winsvc.h>以下以web服务为例: #include winsvc.h>void CStartServiceDlg::OnBnClickedButton1()...{       // 打开服务管理对象    SC_HANDLE hSC = ::OpenSCManager( NULL,                         NULL, GENERI
vc++数学函数
05-18 2818
数学函数,所在函数库为math.h、stdlib.h、string.h、float.hint      abs(int i)                    返回整型参数i的绝对值double  cabs(struct complex znum)      返回复数znum的绝对值double  fabs(double x)                 返回双精度参数x的绝对值long 
vc++的sha1 算法
04-25 2725
调用格式如下://定义要sha1的字符串 char pTemp[200]={0};lstrcpy(pTemp,"123123123zdasdasdasd",size(pTemp));//定义返回的sha1值char szHash[41] ={0};SHA1((const char*)pTemp, szHash, 41);  #include "stdafx.h"#include
vc++目录函数,所在函数库为dir.h、dos.h
05-18 2281
目录函数,所在函数库为dir.h、dos.hint     chdir(char *path) 使指定的目录path(如:"C://WPS")变成当前的工作目录,成         功返回0int findfirst(char *pathname,struct ffblk *ffblk,int attrib)查找指定的文件,成功     返回0     pathname为指定的目录名和文件名,如"
OGRE中的四元数与旋转
08-31 1784
想象一个物体在3D空间中移动的过程,该物体必然会涉及到旋转。例如一个怪物,他的运动方向会改变,要改变其方向只需要对其进行旋转即可。旋转的方式大致分为三种:Euler旋转,矩阵旋转,以及四元数旋转。这里稍微记录下我目前对于四元数旋转的理解。对于四元数方面的数学,以及其原理,这里不关心,只需要学会如何使用即可。无论是哪一种旋转,物体与该物体的局部坐标系之间的相对位置,相对方位都是不会改变的。因此,在进
vc++ 启动子进程
04-25 1637
vc++启动子进程 示例:启动一个带有参数的程序Execute("c:/1.exe", " -a  ");执行一个Dos命令Execute("", " 1.bat cmd /C  "); //参数 文件绝对路径 和 命令行bool Execute(LPCTSTR pszExeFile,LPCTSTR pszCmdLine)...{    // 启动子进程    PR
DXUT 框架函数介绍 学习开发游戏UI
08-17 1413
友情提醒:所谓的框架是指SDK目录下/Samples/C++/Common路径下的DXUT系列函数包装。学习框架的前提是必须有足够的Windows API,GUI编程经验,必须熟悉Windows的消息机制,回调机制,最好有万行左右的C/C++编程经验。MFC在这里没有任何用处。另外我觉得最好在看程序之前对于D3D的所有概念有点了解,什么是vertex,texture,matrix,lighting
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

红火吖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值