Hook
关注
分享
扫一扫
swanabin
这个作者很懒,什么都没留下…
展开
-
Detours的使用准备
Detours是微软开发的一个函数库,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作:一.下载Detours 在http://research.microsoft.com/sn/detours 可免费下载Detours,当前的最新版本是Detours Express 2.1 is available for immediate download un原创 2013-06-21 11:52:49 · 3730 阅读 · 0 评论 -
detours3.0文档翻译
拦截二进制函数 Detours库可以在运行过程中动态拦截函数调用。detours将目标函数前几个指令替换为一个无条件跳转,跳转到用户定义的detour函数。被拦截的函数保存在trampoline函数中。trampoline保存了目标函数移除的指令和一个无条件跳转,可以跳转到目标函数的执行体部分(未被移除的部分)。 当执行到目标函数的时候,直接跳转到用户提转载 2014-10-22 15:50:14 · 1033 阅读 · 0 评论 -
detours学习
最近学习detours3.0,总结下学习过程,给后来学习者一点参考,也便于自己以后复习首先应该知道detours可以干什么,学习之前最好看一下detours文档,这个文档很简单,只有4篇文章,相对比较容易理解,如果不想看英文(建议看原始英文文档),这儿有中文的可以参考。因为detours是采用nmake建立的工程,不是常用的visualstudio系列,所以看起来可能麻烦一点,这儿转载 2014-10-22 15:48:42 · 689 阅读 · 0 评论 -
我的Hook学习笔记
一、基本概念: 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,转载 2013-12-26 11:30:15 · 1070 阅读 · 0 评论 -
如何HOOK桌面窗口消息
代码详见:http://download.youkuaiyun.com/detail/swanabin/6771465需求:截获桌面窗口鼠标单击事件,解析所选中的桌面 Item,并将解析后的 item 信息发送给主调程序,并将信息显示在一个窗口上面。如下图: 思路:1. 确定HOOK的类型。很明显,这一个进程外的HOOK,我们的应用程序DesktopCaptor2.转载 2013-12-26 11:49:30 · 5778 阅读 · 2 评论 -
HOOK NtCreateSection
本程序使用了hde32反汇编引擎,所以性能更加稳定!#pragma once#include NTSYSAPINTSTATUSNTAPINtCreateSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES转载 2013-11-21 10:27:44 · 2287 阅读 · 0 评论 -
通过HookNtCreateSection 动态监控驱动sys、动态链接库dll、可执行文件exe加载
[cpp] view plaincopyprint?/* windows2003 x86/x64 window7 x86 windows2008 R2 x64测试通过 */ #include #include "nt_help.h" DRIVER_INITIALIZE DriverEntry; typedef str转载 2013-11-21 11:31:56 · 3313 阅读 · 0 评论 -
说说猎豹安全浏览器
最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有种令人眼前一亮的赶脚,是否真的有这么神奇吗?于是我操起IDA简单的分析了一下。1.猎转载 2013-11-21 12:58:36 · 1990 阅读 · 0 评论 -
通过挂钩NtCreateSection监控可执行模块
通过挂钩 NtCreateSection 监控可执行模块 在 Win32 中,我们使用 CreateFileMapping 来创建映射文件对象,函数原型如下: HANDLE CreateFileMapping( HANDLE hFile, // handle to file to map LPSECURITY_ATTRIBUTES lpF转载 2013-11-19 15:49:13 · 1032 阅读 · 0 评论 -
利用钩子技术控制进程创建(附源代码)
一、 简介 最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果,PC用户得到保护而免于各种插件间谍软件、蠕虫和特洛伊木马的侵袭-就算能够进入他/她的计算机,它们也没有机会执行,并因此没有机会对该机器造成任何损害。当然,我觉得这个特征相当有趣;并且,在稍作思考以后,我就有了一个转载 2013-11-19 14:11:56 · 1434 阅读 · 0 评论 -
NtOpenProcess被HOOK,跳回原函数地址后仍然无法看到进程
http://www.ghoffice.com/bbs/read-htm-tid-103923.html转载 2013-07-30 17:57:15 · 1136 阅读 · 0 评论 -
APIHOOK
#include stdio.h>#include windows.h>#include Dbghelp.h>#pragma comment(lib,"Dbghelp.lib")#pragma comment(lib,"User32.lib")typedef int (__stdcall *OLD_MessageBox)( HWND hWnd, LPCTSTR lpTe转载 2013-07-30 16:50:46 · 763 阅读 · 0 评论 -
detours编译与windows下makefile学习
1.编译windows环境命令行编译很少用,detours需要使用命令行编译,刚好试试,过程如下:1.为了能够在所有目录中使用nmake命令,需要设置环境变量Path D:\Program Files\Microsoft Visual Studio 9.0\VC\bin2.运行这个文件:D:\Program Files\Microsoft Visual Studio 9.0转载 2014-10-22 15:51:30 · 2021 阅读 · 0 评论