Hook API 简单示例

最新推荐文章于 2023-08-22 12:30:00 发布
原创 最新推荐文章于 2023-08-22 12:30:00 发布 · 688 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#api #hook #image #descriptor #import #null

本文介绍了一种在Windows环境下通过挂钩API实现自定义消息框显示的方法。具体步骤包括:提升进程调试权限、替换原生MessageBoxA函数为自定义实现、在导入表中找到并修改目标函数地址。

 

  1 #include  < windows.h >
  2 #include  < stdio.h >
  3
  4 //  挂钩指定模块hMod对MessageBoxA的调用
  5 BOOL SetHook(HMODULE hMod);
   6 //  定义MessageBoxA函数原型
  7 typedef  int  (WINAPI  * PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);
   8 //  保存MessageBoxA函数的真实地址
  9 PROC g_orgProc  =  (PROC)MessageBoxA;
  10
 11
 12 BOOL EnableDebugPrivilege() 
  13
 14 BOOL fOk  =  FALSE; 
  15 HANDLE hToken; 
  16
 17 if  (OpenProcessToken(GetCurrentProcess(), 
  18        TOKEN_ADJUST_PRIVILEGES,  & hToken)) 
  19
 20        TOKEN_PRIVILEGES tp;
  21        tp.PrivilegeCount  =   1
 22        LookupPrivilegeValue(NULL, SE_DEBUG_NAME,  & tp.Privileges[ 0 ].Luid); 
  23        tp.Privileges[ 0 ].Attributes  =  SE_PRIVILEGE_ENABLED; 
  24        AdjustTokenPrivileges(hToken, FALSE,  & tp,  sizeof (tp), NULL, NULL); 
  25        fOk  =  (GetLastError()  ==  ERROR_SUCCESS); 
  26        CloseHandle(hToken); 
  27 }  
  28 return  fOk;  // 提升成功返回TRUE,失败返回FALSE 
 29 }
 30
 31 void  main()
  32 {
  33 if (EnableDebugPrivilege())
  34 {
  35 //  调用原API函数
 36 ::MessageBox(NULL,  " 原函数 " " Hook Api " 0 );
  37 //  挂钩后再调用
 38 SetHook(::GetModuleHandle(NULL));
  39 ::MessageBox(NULL,  " 原函数 " " Hook Api " 0 );
  40 }
 41
 42 }
 43
 44 //  用于替换MessageBoxA的自定义函数
 45 int  WINAPI MyMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
  46 {
  47 return  ((PFNMESSAGEBOX)g_orgProc)(hWnd,  " Hook API Sucess! " " OK " , uType);
  48 return   0 ;
  49 }
 50
 51 BOOL SetHook(HMODULE hMod)
  52 {
  53 IMAGE_DOS_HEADER *  pDosHeader  =  (IMAGE_DOS_HEADER * )hMod;
  54 IMAGE_OPTIONAL_HEADER  *  pOptHeader  =
 55 (IMAGE_OPTIONAL_HEADER  * )((BYTE * )hMod  +  pDosHeader -> e_lfanew  +   24 );
  56
 57 IMAGE_IMPORT_DESCRIPTOR *  pImportDesc  =  (IMAGE_IMPORT_DESCRIPTOR * )
  58 ((BYTE * )hMod  +  pOptHeader -> DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
  59
 60 //  在导入表中查找user32.dll模块。因为MessageBoxA函数从user32.dll模块导出
 61 while (pImportDesc -> FirstThunk)
  62 {
  63 char *  pszDllName  =  ( char * )((BYTE * )hMod  +  pImportDesc -> Name);
  64 if (lstrcmpiA(pszDllName,  " user32.dll " ==   0 )
  65 {
  66 break ;
  67 }
 68 pImportDesc ++ ;
  69 }
 70
 71 if (pImportDesc -> FirstThunk)
  72 {
  73
 74 //  一个IMAGE_THUNK_DATA就是一个双字,它指定了一个导入函数
  75 //  调入地址表其实是IMAGE_THUNK_DATA结构的数组,也就是DWORD数组
 76 IMAGE_THUNK_DATA *  pThunk  =  (IMAGE_THUNK_DATA * )
  77 ((BYTE * )hMod  +  pImportDesc -> FirstThunk);
  78 while (pThunk -> u1.Function)
  79 {
  80 //  lpAddr指向的内存保存了函数的地址
 81 DWORD *  lpAddr  =  (DWORD * ) & (pThunk -> u1.Function);
  82 if ( * lpAddr  ==  (DWORD)g_orgProc)
  83
 84 DWORD oldProc;
  85 BOOL VirSu = VirtualProtect(lpAddr, sizeof (DWORD),PAGE_READWRITE, & oldProc);
  86 if (VirSu == TRUE)
  87 {
  88 //  修改IAT表项,使其指向我们自定义的函数,相当于“*lpAddr = (DWORD)MyMessageBoxA;”
 89 DWORD *  lpNewProc  =  (DWORD * )MyMessageBoxA;
  90 ::WriteProcessMemory(::GetCurrentProcess(), 
  91 lpAddr,  & lpNewProc,  sizeof (DWORD), NULL);
  92 }
 93 else
 94 {
  95 MessageBox(NULL, " Error! " , " a " , 0 );
  96 }
 97 return  TRUE;
  98 }
 99 pThunk ++ ;
 100 }
101 }
102 return  FALSE;
 103 }

 

有个郁闷的问题,在2003sp1下,不管是提升进程权限还是修改内存包含属性都成功!debug版本能成功!release就他娘的死不成功!郁闷死,遍寻高手无着落,暂时等着先。。。

hook_api.zip_API_HOOK API_Hook_api_hook_hook api
09-23
标题中的"hook_api.zip_API_HOOK API_Hook_api_hook_hook api"可能是指一个包含有关API Hook实现的压缩包文件,可能包含了代码示例或工具。 描述中提到"api钩子好像比较好用",这意味着API Hook在某些场景下非常...
HOOKAPI.rar_api hook_hook api_hookapi
09-24
压缩包中的"HOOKAPI"可能包含了实现上述步骤的示例代码。开发者可以通过阅读和分析这些代码,了解API Hook的具体实现细节,包括如何在MFC框架下创建和管理钩子,以及如何处理钩子回调。 API Hook技术在各种场景中有...
关于HOOK简单实例
10-12
这是关于HOOK的一个简单实例,是基于VC++,MFC的简单实例
hook钩子简单实例
11-10
hook钩子简单实例 hook钩子简单实例 hook钩子简单实例 hook钩子简单实例
Hook API 原理 解析
weixin_33836223的博客
05-23 505
1 什么是Hook API 简单的说,一个应用程序要调用一个API函数,例如CreateFileW,那么应用程序必须要知道函数的地址,才能调用它,我对Hook API的理解是,把这个函数地址替换为另一个函数MyCreateFileW的地址,那么每当程序调用CreateFileW时,就会调用MyCreateFileW 2 Hook API有什么用 在《Rootkits——W...
AHOOKAPI(一)——HOOK基础+一个鼠标钩子实例
02-26
最近在做毕业设计,有一个功能是需要实现对剪切板的监控和进程的防终止保护。原本想从内核层实现,但没有头绪。最后决定从调用层入手,即采用HOOKAPI的技术来挂钩相应的API,从而实现预期的功能。在这样的需求下,就开始学习了HOOKAPIHOOK(钩子,挂钩)是一种实现Windows平台下类似于中断的机制[24]。HOOK机制允许应用程序拦截并处理Windows消息或指定事件,当指定的消息发出后,HOOK程序就可以在消息到达目标窗口之前将其捕获,从而得到对消息的控制权,进而可以对该消息进行处理或修改,加入我们所需的功能。钩子按使用范围分,可分为线程钩子和系统钩子,其中,系统钩子具有相当大的功能,
hook API 详解
jsl8998620的专栏
04-01 1751
来源:http://cisco.chinaitlab.com/safety/366596.html详谈HOOK API的技术HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或Ex
APIHook.rar_ Hook api_APIHOOK_api hook_c api hook_通用hook框架
09-24
API Hook是一种技术,它允许程序员拦截和修改特定API(应用程序编程接口)的调用行为。在Windows操作系统中,API Hook通常通过钩子函数(Hook Function)来实现,这些函数会在目标API被调用前或调用后执行。API Hook...
api.rar_HOOK API_api hook_api hook codeproject_hook_hook api
09-22
例如,Detours库是微软研究实验室的一个项目,它提供了一个强大的API,使得API Hook的实现更加简单易懂。 API Hook的应用场景非常广泛,包括但不限于:软件逆向工程,用于理解程序内部工作原理;调试,通过观察API...
Hook windows native API示例源代码
01-25
- `Hooking the native API and controlling process creation on a system-wide basis.txt`:这个文件可能包含了一个示例,讲解如何通过Hook Native API来控制系统级别的进程创建。在这个过程中,开发者可能会Hook...
HOOK API实例
08-22
HOOK API VC C++ HOOK VC C++ HOOK
CCA Patcher Core:CCA Hack 的修补工具-开源
05-29
This application patches CCA Hack;so that it can not text adds in games. --- Video How-To: http://youtu.be/hUy2HI4iIWk --- It patches C.C.A core Dll (CCA-Hook.dll) so that it can NOT show adds-addvertises like "C.C.A By Softwind 汉语 / 漢語汉语 / 漢語汉语 / 漢語".Or it can NOT change your name like "C.C.A | MyName". It only patches predefined offsets in core dll file to undefined commands. For example in standard way, C.C.A Hook v2.0 uses "name" and "say" commands to show their advertises.Like this: "say C.
ahooks.js:一款强大的React Hooks库及其API使用教程(五)
weixin_42662753的博客
08-22 5773
ahooks是一款由阿里巴巴开发团队设计的React Hooks库,提供了一系列实用的React Hooks,以便开发者更好地使用React的功能。ahooks的设计原则是“最小API,最大自由”,旨在提供最小的、最易于理解和使用的API,同时保留最大的使用自由度。ahooks.js:一款强大的React Hooks库及其API使用教程(一)ahooks.js:一款强大的React Hooks库及其API使用教程(二)ahooks.js:一款强大的React Hooks库及其API使用教程(三)
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
Api Hook, Hook Api that you want to Hook
liu563582815的专栏
02-28 438
如果你想截取某个Api的执行,那么你可以选用微软提供的一个库:Detours;如果要下载请链接:http://research.microsoft.com/en-us/projects/detours/ 网上提供了很多源码,都是关于怎么使用这个库的,但是今天我把它下载下来,不管三七二十一,看着网上提供的范例,照着写了一个。一运行出现:stack flow(很明显是递归调用);哎呀,极度郁闷,于是
基于EasyHook实现监控explorer资源管理器文件复制、删除、剪切等操作
weixin_30616969的博客
08-19 899
一、前言最近自己在研究一个项目,需要实现对explorer资源管理器文件操作的监控功能,网上找到一些通过C++实现Hook explorer文件操作的方法,由于本人习惯用.NET开发程序,加之C/C++基础较差,所以一直在研究如何用.NET实现,花了一周多的时间,终于基本实现了通过C# Hook资源管理器文件操作的功能,这里给出一些核心的内容,供大家参考。二、EasyHook1.简介Ea...
文件拷贝(IFileOperation::CopyItem)
bruce135lee的专栏
07-04 1179
UINT CFileCopyView::CopyThread(){    int nCount = m_SourceListCtrl.GetCheckCount();    if (nCount == 0)    {        return 0;    }    // 2:Begin    m_progressDlgExt.Start();    HRESULT hr = S_OK;    L...
ahooks.js:一款强大的React Hooks库及其API使用教程(二)
weixin_42662753的博客
08-17 5675
ahooks是一款由阿里巴巴开发团队设计的React Hooks库,提供了一系列实用的React Hooks,以便开发者更好地使用React的功能。ahooks的设计原则是“最小API,最大自由”,旨在提供最小的、最易于理解和使用的API,同时保留最大的使用自由度。ahooks.js:一款强大的React Hooks库及其API使用教程(一)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值