code hook findfirstfileEx

最新推荐文章于 2023-08-28 09:48:25 发布
最新推荐文章于 2023-08-28 09:48:25 发布
阅读量309 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Programming 文章标签: hook winapi search dll null struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pengdawei521/article/details/1757901
本文介绍了一个DLL应用示例,通过DLL注入技术重定向Windows API函数FindFirstFileEx,实现文件搜索操作的日志记录功能。该技术使用Detours库进行函数钩子设置,适用于Windows系统下的文件操作监控。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

// HookFindFirstFileEx.cpp : Defines the entry point for the DLL application.
//

#include "stdafx.h"
#include "stdio.h"
#include <Windows.h>
#include "./include/detours.h"



///////////////////////////////////////
#define _WIN32_WINNT 0x0400

/*typedef struct _WIN32_FIND_DATA2
{  
    DWORD dwFileAttributes;  
    FILETIME ftCreationTime;  
    FILETIME ftLastAccessTime;  
    FILETIME ftLastWriteTime;  
    DWORD nFileSizeHigh;  
    DWORD nFileSizeLow;  
    DWORD dwReserved0;  
    DWORD dwReserved1;  
    WCHAR cFileName[MAX_PATH];  
    WCHAR cAlternateFileName[14];
}
WIN32_FIND_DATA2, *PWIN32_FIND_DATA2;*/

typedef enum _FINDEX_INFO_LEVELS
{
    FindExInfoStandard
}
FINDEX_INFO_LEVELS;



typedef enum _FINDEX_SEARCH_OPS
{
    FindExSearchNameMatch,
    FindExSearchLimitToDirectories,
    FindExSearchLimitToDevices
} FINDEX_SEARCH_OPS;


extern "C" HANDLE WINAPI FindFirstFileExA(
  LPCTSTR lpFileName,
  FINDEX_INFO_LEVELS fInfoLevelId,
  LPVOID lpFindFileData,
  FINDEX_SEARCH_OPS fSearchOp,
  LPVOID lpSearchFilter,
  DWORD dwAdditionalFlags
);

extern "C" HANDLE WINAPI FindFirstFileExW(
  LPCWSTR lpFileName,
  FINDEX_INFO_LEVELS fInfoLevelId,
  LPVOID lpFindFileData,
  FINDEX_SEARCH_OPS fSearchOp,
  LPVOID lpSearchFilter,
  DWORD dwAdditionalFlags
);




BOOL InstallProbes();
BOOL UninstallProbes();

DETOUR_TRAMPOLINE( HANDLE WINAPI Real_FindFirstFileExA( LPCTSTR a0, FINDEX_INFO_LEVELS a1, LPVOID a2, FINDEX_SEARCH_OPS a3, LPVOID a4, DWORD a5 ), FindFirstFileExA );
DETOUR_TRAMPOLINE( HANDLE WINAPI Real_FindFirstFileExW( LPCWSTR a0, FINDEX_INFO_LEVELS a1, LPVOID a2, FINDEX_SEARCH_OPS a3, LPVOID a4, DWORD a5 ), FindFirstFileExW );


HANDLE WINAPI MyFindFirstFileExA( LPCTSTR lpFileName,
                                  FINDEX_INFO_LEVELS fInfoLevelId,
                                  LPVOID lpFindFileData,
                                  FINDEX_SEARCH_OPS fSearchOp,
                                  LPVOID lpSearchFilter,
                                  DWORD dwAdditionalFlags );

HANDLE WINAPI MyFindFirstFileExW( LPCWSTR lpFileName,
                                  FINDEX_INFO_LEVELS fInfoLevelId,
                                  LPVOID lpFindFileData,
                                  FINDEX_SEARCH_OPS fSearchOp,
                                  LPVOID lpSearchFilter,
                                  DWORD dwAdditionalFlags );


/////////////////////////////
BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    if( DLL_PROCESS_ATTACH == ul_reason_for_call )//dll加载
    {
        InstallProbes();
    }
    else if( DLL_PROCESS_DETACH == ul_reason_for_call )//dll卸载
    {
        UninstallProbes();
    }
    else;

    return TRUE;
}

BOOL InstallProbes()
{
    DetourFunctionWithTrampoline( (PBYTE)Real_FindFirstFileExA, (PBYTE)MyFindFirstFileExA );
    DetourFunctionWithTrampoline( (PBYTE)Real_FindFirstFileExW, (PBYTE)MyFindFirstFileExW );
#ifdef _DEBUG
    OutputDebugString("InstallProbes ok./n");
#endif
    return TRUE;
}

BOOL UninstallProbes()
{
    DetourRemove( (PBYTE)Real_FindFirstFileExA, (PBYTE)MyFindFirstFileExA );
    DetourRemove( (PBYTE)Real_FindFirstFileExW, (PBYTE)MyFindFirstFileExW );

#ifdef _DEBUG    
    OutputDebugString("UNInstallProbes ok./n");
#endif
    return TRUE;
}

////////////////////////////////////////////////////////
HANDLE WINAPI MyFindFirstFileExA( LPCTSTR lpFileName,
                                  FINDEX_INFO_LEVELS fInfoLevelId,
                                  LPVOID lpFindFileData,
                                  FINDEX_SEARCH_OPS fSearchOp,
                                  LPVOID lpSearchFilter,
                                  DWORD dwAdditionalFlags )
{
    TCHAR sz[300];
    sprintf( sz, "MyFindFirstFileExA :%s /n", lpFileName );
    OutputDebugString( sz );

    return Real_FindFirstFileExA( lpFileName, fInfoLevelId, lpFindFileData, fSearchOp, lpSearchFilter, dwAdditionalFlags );
}

HANDLE WINAPI MyFindFirstFileExW( LPCWSTR lpFileName,
                                  FINDEX_INFO_LEVELS fInfoLevelId,
                                  LPVOID lpFindFileData,
                                  FINDEX_SEARCH_OPS fSearchOp,
                                  LPVOID lpSearchFilter,
                                  DWORD dwAdditionalFlags )
{
    char strTemp[256*2];
    TCHAR sz[300];

    WideCharToMultiByte( CP_ACP, 0, (LPCWSTR)lpFileName, -1, strTemp, 256, NULL, NULL );
    sprintf( sz, "MyFindFirstFileExW :%s /n", strTemp );
    OutputDebugString( sz );


    return Real_FindFirstFileExW( lpFileName, fInfoLevelId, lpFindFileData, fSearchOp, lpSearchFilter, dwAdditionalFlags );
}
VC++高效强大的API函数FindFirstFile使用介绍
CyberJolt的博客
09-09 753
然后,我们指定了要搜索的目录和文件名,并调用FindFirstFile函数来开始搜索。如果函数成功返回了一个有效的搜索句柄,我们就进入一个循环,调用FindNextFile函数来遍历找到的文件。通过使用VC++中的FindFirstFile函数,我们可以方便地在指定的目录中查找符合条件的文件。在VC++编程中,FindFirstFile是一个功能强大的API函数,它用于在指定的目录中查找符合指定条件的文件。需要注意的是,FindFirstFile函数只能用于搜索文件,而不能用于搜索目录。
木马核心技术剖析读书笔记之木马的隐藏
不急不躁
03-18 2498
文件隐藏 常用的文件隐藏方法有基于用户模式的 Rootkit 也有基于内核模式的 Rootkit 基于用户模式的 Rootkit 在 Windows 中,应用层的大多数功能都是通过调用 Native API 完成的。以 Windows7 为例,Native API 通过 sysenter 指令进入内核,进而调用 SSDT(System Service Dispatch Table,系...
libigl工程运行出错:ninja : error : FindFirstFileExA(../../../../../../参数化代码集合/用到的参数化代码/mesh_param/out/buil
最新发布
wang1zhong1quan的博客
08-28 803
libigl工程运行出错:ninja : error : FindFirstFileExA(../../../../../../参数化代码集合/用到的参数化代码/mesh_param/out/buil
FindFirstFile读取文件目录
学而不思则罔
01-12 1283
1.读取一个目录时,传递的目录应该带通配符,如C:/*.* 2.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY 属性可以判断是文件夹 3.这个函数会自动读出一个名为"."和".."的文件(夹),这两个文件(夹)是无效的,需要使用&& s
CodeInterger中hook 应用场景
weixin_33755649的博客
08-18 107
用于后台登录验证post_controller_constructor<?php classAuth{ private$CI; private$loginUri='welcome/login'; private$loginAuth=FALSE; private$sessId=null; publi...
小程序HOOK 小程序code、小程序sessionid、小程序云函数、小程序支付二维码 支持抢购小程序模拟认证
m0_68138958的博客
02-01 4957
小程序HOOK 小程序code、小程序sessionid、小程序云函数、小程序支付二维码
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
这个压缩包文件"APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de"包含了一个使用Detours库来实现API Hook的例子,特别是针对Windows系统中的`recv`函数。下面我们将深入探讨API Hook、Detours库...
解决SVN:post-commit hook failed (exit code 127) with output:
01-07
前言: 在另一篇文章中,有SVN搭建以及提交代码自动更新到项目目录的解决方案,文章链接如下: ...问题: 在提交代码之后,代码有更新到项目目录中,但是svn提示如下错误: 解决方案: (1)在网上看了很多方案,类似...
git-code-format-maven-plugin:一个maven插件,可自动将https:github.comgooglegoogle-java-format代码格式化程序部署为预提交的git hook
02-03
为了避免侵犯Apache Maven商标,该插件已重命名为git-code-format-maven-plugin 。 其新坐标为com.cosium.code:git-code-format-maven-plugin 。 1.x文档可以在找到 自动代码格式和验证激活 将此添加到您的Maven...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
VEH+硬件断点实现无痕HOOK
09-24
【标题】"VEH+硬件断点实现无痕HOOK"涉及的是Windows系统中的一种高级调试技术,主要用于在不改变目标程序原始行为的情况下,插入自定义代码以监控或修改其执行流程。这种技术常用于软件调试、逆向工程、安全检测等...
FindFirstFile FindNextFile 以及_WIN32_FIND_DATA结构
寻梦&之璐
01-09 2085
首先需要介绍陌生的东西: _WIN32_FIND_DATA 作用: 关于文件的全部属性信息。总计有以下以下9种:文件的标题名、文件的属性(只读、存档,隐藏等)、文件的创建时间、文件的最后访问时间、文件的最后修改时间、文件大小的高位双字、文件大小的低位双字、保留、保留。在这里只有文件标题名和文件的长度可以通过CFile类比较方便的获得,而对于其他几种属性的获取和设置就无能为力了。 在用findfirst()和findnext()函数去查找磁盘文件时经常使用的一个数据结构WIN32_FIND_DATA的成员变量
FindFirstFile
pamxy啲Coding窝...
03-04 791
转自:百度百科    http://baike.baidu.com/view/1288768.htm 目录 VB声明 说明 返回值 参数表 注解 VC声明 功能说明 展开 VB声明 说明 返回值 参数表 注解 VC声明 功能说明 展开 编辑本段VB声明 Declare Function F
企鹅号hook获取小程序code工具有木有需要的
孟冬毅!有一很大的舞台,那是世界!
06-14 2207
hook工具,支持企鹅3.4.0.38版本。
VC++文件操作,获取文件属性信息,判断文件是否存在,移动和拷贝文件
m0_60352504的博客
01-14 1627
通过FindFirstFile返回值可判断文件是否存在
MFC之CFileDialog文件保存扩展名问题
黑色星辰
09-10 9910
void CmapfileDlg::OnBnClickedNew2(){ static char BASED_CODE szFilter[] = "Map Files (*.map)|*.map|MapCfg Files(*.mapCfg) |*.mapCfg||"; CFileDialog dlg(FALSE,NULL,NULL,OFN_HIDEREADONLY|OFN_OVERWR
C++删除目录,包括该目录下所有子目录和文件
热门推荐
beibaoke910的专栏
04-25 1万+
void RemoveAllFiles(wstring wstrDir) { if (wstrDir.empty()) { return; } HANDLE hFind; WIN32_FIND_DATA findData; wstring wstrTempDir = wstrDir + (L"\\*.*");; hFind = FindFirstFile(wstrTempDir.c_str(), &findData); if (hFind == INVALID_HANDLE_V.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值