WIN32汇编实现进程导入表HOOK API

最新推荐文章于 2024-01-29 22:56:55 发布
原创 最新推荐文章于 2024-01-29 22:56:55 发布 · 857 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这是一个关于使用汇编语言在WIN32环境下实现进程导入表API Hook的例子,主要针对NtDeviceIoControlFile函数。通过替换导入表中的函数地址,实现了对特定API的拦截和回调函数NewNtDeviceIoControlFile,允许在发送网络封包前进行检查和操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

;****************************************************
;DevName:进程导入表API_HOOK
;开发者:GhostHand
;****************************************************
                        .386
                        .model flat,stdcall
                        option casemap:none
;****************************************************
include                        windows.inc
include                        user32.inc
includelib                user32.lib
include                        kernel32.inc
includelib                kernel32.lib
include                        rsrc.inc
include                        psapi.inc
includelib                psapi.lib
 
AFD_RECV        equ        12017h
AFD_SEND        equ        1201fh
 
AFD_WSABUF        struct
        len        dd        ?
        buf        dd        ?
AFD_WSABUF ends        
AFD_INFO        struct
        lpWsaBuf        dd        ?
        BufferCount        dd        ?
        AfdFlags        dd        ?
        TdiFlags        dd        ?
AFD_INFO ends
;****************************************************
.data?
hHook                dd        ?
hWinMain        dd        ?
hWinSetting        dd        ?
.data
hInstance        dd        ?
hCurProc        dd        ?
lpNtDeviceIoControl        dd        ?        ;存放旧NtDeviceIoControl
lpNewNtDeviceIoControl        dd        ?        ;存放新NtDeviceIoControl
ImportNtDeviceIoControl        dd        ?        ;导入表中用于存放NtDeviceIoControl地址的内存
 
.const
szCaption        db        '提示!',0
szMswsock        db        'mswsock.dll',0
szNtDll                db        'ntdll.dll',0
szNtDeviceIoControlFile        db        'NtDeviceIoControlFile',0
 
.code
;------------------------------------------------------
;NtDevice
最低0.47元/天 解锁文章

200万优质内容无限畅学
Win32汇编注入:APIHook
01-21 1131
1,APIHook 概述:概述:注入windows画图工具(32位),让画图工具启动后,只要画图工具调用要hookapi,就能弹出一个对话框;以上关键使用APIHookAPIHook也是杀软主动防御的一个基础; 2,提前搞清楚几个问题 2.1 A和W版本 WindowsAPI有A和W版本,如果使用A版本,A版本最后还是会调用W版本,所以尽可能hook的是W版本;这里涉及到其他问
为什么使用汇编可以 Hook objc_msgSend(上)- 汇编基础
Desgard_Duan
04-15 1068
iOS 方案之本(Essence of Workaround in iOS) 是我写的一个专题。在大厂的各路优化方案中,只是告诉了我们为了达到目的怎么去做,但是并没有说这个方案的本质原因...
汇编ring3下实现HOOK API
yingfox的专栏
12-05 1182
导读:   标 题:汇编ring3下实现HOOK API【原创】   作 者:非安全   时 间:2006-07-12,18:39   链 接:http://bbs.pediy.com/showthread.php?t=28895   汇编ring3下实现HOOK API(二次修改版)   【文章标题】汇编ring3下实现HOOK API   【文章作者】nohacks(非安全,hacke
汇编HooK
qq_35426012的博客
11-05 988
设计思路 远程申请内存 利用汇编指令在系统API开头劫持跳转 当自己的代码执行完再重新跳转回目标API 示例代码如下 386 .model flat, stdcall ;32 bit memory model option casemap :none ;case sensitive include Inject.inc .code InjectCode: pop ea...
IAT Hook 导入
11-01 234
每一个模块都会有导出导入。IAT HOOK就是修改导入内的函数,使得模块中的 CALL [XXXXX] call到自己的函数里面去。执行自己的功能 模块开始是 IMAGE_DOS_HEADER,这个结构内有一个e_flew成员,这是个偏移,h_module+e_flew可以得到 IMAGE_NT_HEADER,Nt头内包含了很多信息,导入也在这里面。 PIMAGE_...
[Win32] API Hook(1)在32位系统上的实现
zuishikonghuan的博客
08-25 9480
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: API Hook技术,虽然很老了,但是依旧是很有用的技术,同时网上的资料往往不能直接拿过来用,c语言的太少。这回呢,我要用C语言来完整的编写一个Win32SDK编程的API Hook源码,但是我还是用cpp保存编译,为哈?因为微软对c语言标准支持的很不好,我不知道vs2013支持c
掌握64/32位Hook API实现技巧
为了实现API Hook,我们通常需要具备深入理解操作系统原理、汇编语言编程、调试技术等知识。在实际操作中,开发者需要对目标应用程序和操作系统的内部工作原理有一定的认识,并且熟悉相关的开发工具和调试工具。 ...
64位APIHook技术:简化x64汇编API钩子实现
5. IAT Hook导入地址Hook):在Windows系统中,函数的调用经常通过导入地址(IAT)来实现。通过修改IAT中特定函数的地址,可以改变程序调用的行为。 6. SSDT(系统服务描述Hook:在Windows内核模式下,可以...
注入(5)---导入注入(HookINT)
weixin_33841722的博客
10-13 354
导入是WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入,PE加载器会根据导入来加载进程需要的其他DLL模块。 导入的数据结构如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; ...
android so hook原理,Android so注入(inject)和Hook技术学习(二)——Gothook导入hook...
weixin_42128141的博客
05-27 658
全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。GOT其实包含了导入和导出,导出指将当前动态库的一些函数符号保留,供外部调用,导入中的函数实际是在该动态库中调用外部的导出函数。这里有几个关键点要说明一下:(1) so文件的绝对路径和加载到内存中的基址是可以通...
获取进程导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
windows 导入/导出 hook
pureman_mega的博客
06-22 556
【代码】windows iat hook
通过WINNT.H定义的结构体,获取进程IAT
enjoy5512的博客
06-02 1198
利用已定义的PE文件结构体获取本进程的IAT
IAT hook实现 (修改pe中的导入实现hook)
&Ψ的博客
07-21 1587
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入导入中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
获取内存中可执行文件的PE结构--导入
nuy195as
01-17 271
获取内存中可执行文件的PE结构--导入 2012年01月14日   // MemPEImportTable.cpp : 定义控制台应用程序的入口点。   //   // 1、提升自身进程的权限   // 2、获取其他进程的句柄和在内存中的起始地址   // 3、读取其他进程的Import信息   // 4、打印出其他进程的Import信息   // 5、如果是系统级进程可能...
进程导入修复工具——Universal Import Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-09 4126
下载 非开源,下载UniversalImportFixer(UIF)v1.2FINAL-系统安全文档类资源-优快云下载 使用前提: 需要先修复进程内的API调用,如:vmp保护的进程API调用都会变成对vmp函数的调用,需要先将它们修复成对真实API函数的调用。 需要管理员权限打开。 功能: 根据代码段调用的API函数,对内存中进程导入相关结构进行修复。 使用方法: 打开主界面: 填入进程ID,代码段的起始位置,代码段后面段的起始位置(代码段结束位置+1) 新..
导入注入(iathook
最新发布
qq_15054345的博客
01-29 618
源文件(iatHookMain.cpp)内容。头文件(hookMain.h)内容。
系统服务创建和服务-win32汇编完整版
爱杀之爪的矩阵
12-12 838
.386 .model flat, stdcall option casemap :none ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; Include 文件定义 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
WIN32汇编-启用windows视觉样式
hdlovefork的专栏
04-23 1195
想让WIN32汇编写出来的程序好看一点吗?不需要第三方插件的支持,仅使用帮助文档中主题为Visual Style中的方法就能实现(其实我也没看得很明白,但是乱搞一通居然成功) 启用样式之前如下图 启用样式之后如下图   看到各个控件外观的变化了吗?下面看看如何操作仅需2步而已: 第一步:将以下内容粘贴到记事本,然后保存时文件名称为 “应用程序名称.exe.manifest",我的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值