WINAPI HOOK (修改前五个字节,JMP跳转法)

最新推荐文章于 2021-07-12 19:42:11 发布
最新推荐文章于 2021-07-12 19:42:11 发布
阅读量4.4k 收藏 4
点赞数
分类专栏: vcbcbdelphi的window编程 文章标签: hook winapi null api thread access
本文介绍如何在Windows 2000环境下利用VirtualProtectEx等内存操作API实现对MessageBoxA函数的拦截。通过远程注入和钩子函数,可以在内存层面修改目标API的前五个字节,达到拦截并重定向调用的目的。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文一介绍用修改API头五个字节的方法在Win2k下的使用。利用Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为: 
BOOL VirtualProtectEx( 
HANDLE hProcess, // 要修改内存的进程句柄 
LPVOID lpAddress, // 要修改内存的起始地址 
DWORD dwSize, // 修改内存的字节 
DWORD flNewProtect, // 修改后的内存属性 
PDWORD lpflOldProtect // 修改前的内存属性的地址 
); 
BOOL WriteProcessMemory( 
HANDLE hProcess, // 要写进程的句柄 
LPVOID lpBaseAddress, // 写内存的起始地址 
LPVOID lpBuffer, // 写入数据的地址 
DWORD nSize, // 要写的字节数 
LPDWORD lpNumberOfBytesWritten // 实际写入的子节数 
); 
BOOL ReadProcessMemory( 
HANDLE hProcess, // 要读进程的句柄 
LPCVOID lpBaseAddress, // 读内存的起始地址 
LPVOID lpBuffer, // 读入数据的地址 
DWORD nSize, // 要读入的字节数 
LPDWORD lpNumberOfBytesRead // 实际读入的子节数 
); 
具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间,这点又和Win9x/me存在所有进程存在共享的地址空间不同, 因此,必须通过钩子函数和远程注入进程的方法,这样,便能挂接所有进程的API了。现以一个简单采用钩子函数对MessageBoxA进行拦截例子来说明: 
其中Dll文件为: 
HHOOK g_hHook; 
HINSTANCE g_hinstDll; 
FARPROC pfMessageBoxA; 
int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType); 
BYTE OldMessageBoxACode[5],NewMessageBoxACode[5]; 
HMODULE hModule ; 
DWORD dwIdOld,dwIdNew; 
BOOL bHook=false; 
void HookOn(); 
void HookOff(); 
BOOL init(); 
LRESULT WINAPI MousHook(int nCode,WPARAM wParam,LPARAM lParam); 
BOOL APIENTRY DllMain( HANDLE hModule, 
DWORD ul_reason_for_call, 
LPVOID lpReserved 


switch (ul_reason_for_call) 

case DLL_PROCESS_ATTACH: 
if(!init()) 

MessageBoxA(NULL,"Init","ERROR",MB_OK); 
return(false); 

case DLL_THREAD_ATTACH: 
case DLL_THREAD_DETACH: 
case DLL_PROCESS_DETACH: 
if(bHook) UnintallHook(); 
break; 

return TRUE; 

LRESULT WINAPI Hook(int nCode,WPARAM wParam,LPARAM lParam)//空的钩子函数 


return(CallNextHookEx(g_hHook,nCode,wParam,lParam)); 

HOOKAPI2_API BOOL InstallHook()//输出安装空的钩子函数 

g_hinstDll=LoadLibrary("HookApi2.dll"); 
g_hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)Hook,g_hinstDll,0); 
if (!g_hHook) 

MessageBoxA(NULL,"SET ERROR","ERROR",MB_OK); 
return(false); 



return(true); 

HOOKAPI2_API BOOL UninstallHook()//输出御在钩子函数 


return(UnhookWindowsHookEx(g_hHook)); 


BOOL init()//初始化得到MessageBoxA的地址,并生成Jmp XXX(MyMessageBoxA)的跳转指令 

hModule=LoadLibrary("user32.dll"); 
pfMessageBoxA=GetProcAddress(hModule,"MessageBoxA"); 
if(pfMessageBoxA==NULL) 
return false; 
_asm 

lea edi,OldMessageBoxACode 
mov esi,pfMessageBoxA 
cld 
movsd 
movsb 

NewMessageBoxACode[0]=0xe9;//jmp MyMessageBoxA的相对地址的指令 
_asm 

lea eax,MyMessageBoxA 
mov ebx,pfMessageBoxA 
sub eax,ebx 
sub eax,5 
mov dword ptr [NewMessageBoxACode+1],eax 

dwIdNew=GetCurrentProcessId(); //得到所属进程的ID 
dwIdOld=dwIdNew; 
HookOn();//开始拦截 
return(true); 


int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption, UINT uType )//首先关闭拦截,然后才能调用被拦截的Api 函数 

int nReturn=0; 
HookOff(); 
nReturn=MessageBoxA(hWnd,"MessageBox已经被截获,呵呵!",lpCaption,uType); 
HookOn(); 
return(nReturn); 

void HookOn() 

HANDLE hProc; 
dwIdOld=dwIdNew; 
hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);//得到所属进程的句柄 
VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为可写 
WriteProcessMemory(hProc,pfMessageBoxA,NewMessageBoxACode,5,0);//将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA 
VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为原来的属性 
bHook=true; 

void HookOff()//将所属进程中JMP MyMessageBoxA的代码改为Jmp MessageBoxA 

HANDLE hProc; 
dwIdOld=dwIdNew; 
hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld); 
VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld); 
WriteProcessMemory(hProc,pfMessageBoxA,OldMessageBoxACode,5,0); 
VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld); 
bHook=false; 

//测试文件: 
int APIENTRY WinMain(HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow) 


if(!InstallHook()) 

MessageBoxA(NULL,"Hook Error!","Hook",MB_OK); 
return 1; 

MessageBoxA(NULL,"TEST","TEST",MB_OK);//可以看见TEST变成我们截获后的字符串了。而且是所有进程都被截获。
if(!UninstallHook()) 

MessageBoxA(NULL,"Uninstall Error!","Hook",MB_OK); 
return 1; 

return 0; 



以上程序在WIN2K,VC7.0下调试并通过

图片:


挂接前,直接调用MessageBox函数,效果如下:

按此在新窗口打开图片

APIHOOK挂接程序界面:

按此在新窗口打开图片

MessageBox被截获后的效果:(在不同进程实现)

在这里,我重新编制了一个简单的程序进行测试,直接调用MessageBox函数,出现以下画面,表明系统所有进程的MessageBox都被挂接成功。




 
软件安全之Hook 技术 Inline Hook技术应用 TraceMe.exe
SKPrimin的博客
12-12 3469
Hook 技术 实验须知 1实验说明 Hook 是在指令的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信息改变目标进程原本执行流程等目的。 2实验目的 本实验使用 Inline Hook 技术,挂钩 [raceMe.exe百度网盘地址(提取码1111)中计算序列号的代码,获取正确的序列号,加深对 Hook 技术的理解。 3实验原理 Hook Hook∶中文译作"挂钩"或"钩子",在指令执行的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
API函数头部HOOK
misterliwei的专栏
06-29 3862
二.API函数头部HOOK   本方通过改变API函数的头部字节以达到HOOK的目的。 1.  技术与实现 每个程序中需要使用到的API函数的地址都放在IAT上,通过这个地址,每个CALL能正确的到达函数的头部。其流程如下图所示: 我们的截获工作就是在这个头部的位置——我们用一个JMP指令替换掉在这儿的一条或几条指令,让它指向各自的HOOKAPIPROX
获取API函数入口处5字节数据
friendan的专栏
10-14 2496
获取API函数入口处5字节数据,这在HOOK API时,经常用到,因为要了解API的入口特征嘛,这样才好对症下药。 //程序截图如下(后面附有源码下载地址,成品也在源码里面了) -------------------------------------------------------------------------------------------------------
方便JMP跳转,地址计算简化。__declspec(naked)
iteye_15278的博客
03-21 319
[code="c"] __declspec(naked) void test() { } [/code] 将不会产生EBP的移动,也就是说干净的源代码(汇编)
Detours库Windows API Hook
南宫封清的博客
02-24 8918
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
WINAPI调用约定函数的inlineHOOK模板类(class)
09-17
使用class封装的inlineHOOK模板类(class),可劫持大部分WINAPI函数,此种函数的...Real指针指向正确的函数(先执行5字节,然后jmp跳转到被劫持函数的第6字节处,所以要确保5字节是完整的指令,或者自己修改字节数)
HOOK Windows API
flowwaterdog的博客
04-26 612
HOOK Windows API 只能HOOK 本地的API,适用于入门学习 HOOK API的一般步骤: 1.定义假API函数 假API函数,除了函数名称和真API不一样之外,其它的都要跟真API的定义相同,如参数类型和返回值、调用形式等。 int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType...
游戏修改器制作教程六:hook的各种姿势
热门推荐
El Psy Congroo
12-18 1万+
在第二章介绍了hook机制,本章要自己实现hook,实现调用某个函数时我们能截获、修改、取消这次调用
VC Hook
云守护的专栏
04-08 876
#ifndef __ILHOOK_H__F47BF581_8D85_49ef_923D_895DCC9E4471_ #define __ILHOOK_H__F47BF581_8D85_49ef_923D_895DCC9E4471_ #include class CILHook { public: CILHook(); // 构造 ~CILHook(); //
JMPHOOK
gezi322的专栏
04-14 1777
 JMP  HOOK  IAT  detours Win9x   系统中,系统DLL被装入实际的物理存储器,然后映射到每个进程的0x80000000~0xBFFFFFFF共享内存区,如果修改这段区域的DLL代码,则对于所有进程都有效(实际Win98对主要的系统DLL作了保护,除非进入ring0才能修改)。        Win2000/NT   的进程空间不存在共享内存区,尽管DLL被装入
汇编学习笔记3——jmp命令与DEBUG进阶指令
林中路
05-31 1471
汇编学习笔记(3)1.若要同时修改CS、IP的内容,可用指令:jmp 段地址:偏移地址 2.若想仅修改IP的内容,可用指令:jmp 某一合寄存器 //该指令的作用为:用寄存器中的值修改IP3.DEBUG.exe基础命令详解:(1).-r 查看、改变CPU寄存器的内容:单独使用,可以查看所有寄存器里的内容(2).若要改变某个寄存器里的内容,则使用 -r 寄存器名称 回车后,在出现的“:”后面输入
x86/x64 Call Jmp 指令区别
weixin_30650039的博客
04-14 1013
Call指令主要实现对一个函数的调用。Jmp指令主要实现地址的调转。 Call指令和Jmp指令的区别       1:Call指令和Jmp指令的机器码不同。     2:Call指令会对当指令的下一条指令的地址进行压栈操作,来实现函数的返回。    相当于 Push eip+5 ...
ReadProcessMemory与WriteProcessMemory用例分析
wodamazi
09-09 1096
首先介绍一个函数VirtualProtectEx,它用来改变一个进程的虚拟地址中特定页里的某一区域的保护属性,这句话有些咬嘴,直接从MSDN中翻译过来的,简单来说就是改变某一进程中虚拟地址的保护属性,如果以是只读的,那改变属性为PAGE_EXECUTE_READWRITE后,就可以更改这部分内存了。 具体看它的实现 BOOL WINAPI VirtualProtectEx( __in H...
[检测&过检测] 重写 ReadProcessMemory 、WriteProcessMemory
LYSM
07-12 2966
一、本文大纲 系统调用的两种方式:中断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当CPU是否支持快速调用 3环进0环需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重写 ReadProcessMemory 和 WriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、中断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程
通过WriteProcessMemory改写进程的内存
weixin_34378922的博客
07-18 1036
http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadProcessMemory读取程序内存,也能够使用WriteProcessMemory改敲代码的内存,这也是一些内存补丁使用的招数,下面是程序的实现代码 #include <windo...
用汇编语言编写内存修改
heyongzhou的专栏
08-02 1792
Windows汇编程序在编写不使用图形界面(或使用简单的图形界面)的32 位Windows应用程序时,使用汇编语言会使程序简单、快捷,并且这类程序生成的可执行文件比较小(一般不超过10K),执行速度快,无需安装即可运行。在Windows环境中,汇编语言的编程方式与C语言类似,要调用Windows API。在汇编语言中调用API函数使用call 指令,并且函数的参数使用P
老码识途——在堆中构建mov和jmp指令
Likes的博客
08-04 722
// asmjmp.cpp : 定义控制台应用程序的入口点。 // #include <stdio.h> #include <malloc.h> int gi; void * address;//这里是一个变量的定义,跟函数没有一点关系 void * buildCode() { //我们要构建的代码如下 // mov gi, 18 // jmp address;...
C语言实现Windows服务编程的五个关键步骤
在介绍如何用C语言编写Windows服务程序的五个步骤之,需要了解Windows服务(Service)是什么。Windows服务是一种特殊的Windows程序,可以在没有任何用户登录的情况下运行。它们通常执行后台任务,例如监视文件系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值