封装的IATHOOK类的使用

最新推荐文章于 2021-03-22 16:59:12 发布
原创 最新推荐文章于 2021-03-22 16:59:12 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#winapi #hook #dll #null #框架 #测试

本文详细记录了一次尝试在对话框框架中使用DLL和IATHOOK类进行消息钩子实现的过程,包括加载DLL、获取函数地址、HOOK关键函数等步骤,最终遇到的堆栈崩溃问题及失败原因分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

代码不稳定,对WINDOW 7不稳定,对XP也不稳定,木有意义,各位看官绕过吧。。抓狂抓狂抓狂抓狂抓狂 


1. 主程序使用了对话框的框架

2. 把IATHOOK类封装成DLL,在初始化时加载DLL,使用DLL的导出函数,此函数HOOK了MESSAGE消息。。。与此同时,此DLL会在加载的时候创建全局的IATHOOK类,把常见的几个函数LoadLibraryA,LoadLibraryW,LoadLibraryExA,LoadLibraryExW,GetProcAddress这几个函数HOOK了。。。


但经测试,各种各种各种的不稳定。。。

主程序

#include "resource.h"
#include "ProcessProtector.h"
#include "HookTermProLib.h"
#pragma comment(lib, "HookTermProLib.lib")
CMyApp theApp;
BOOL WINAPI SetSysHookAA(BOOL bInstall, DWORD dwThreadId=0)
{
	typedef BOOL (WINAPI* PFNSETSYSHOOK)(BOOL, DWORD);
	
	char szDll[]="HookTermProLib.dll";
	BOOL bNeedFree = FALSE;
	HMODULE hModule = ::GetModuleHandleA(szDll);
	if (hModule == NULL) //不存在这个模块
	{
		int nErr = GetLastError();
		hModule = ::LoadLibraryA(szDll);
		nErr = GetLastError();
		bNeedFree = TRUE;
	}
	
	//获取SETSYSHOOK地址
	PFNSETSYSHOOK mSetSysHook = (PFNSETSYSHOOK)::GetProcAddress(hModule, "SetSysHook");
	if (mSetSysHook == NULL) //文件不正确
	{
		if (bNeedFree)
		{
			::FreeLibrary(hModule);
		}
		return FALSE;
		
	}
	//调用SETSYSHOOK
	MessageBox(NULL, "加载SetSysHook成功", "", MB_OK);
	BOOL bRet = mSetSysHook(bInstall, dwThreadId);
	if (bNeedFree)
	{
		::FreeLibrary(hModule);
	}
	return bRet;
	
	
	return TRUE;
}
BOOL CMyApp::InitInstance()
{
	//安装钩子
	SetSysHookAA(TRUE, 0);
	//显示对话框
	CMainDialog dlg;
	m_pMainWnd = &dlg;   //给m_pMainWnd 主窗口
	dlg.DoModal();
	return FALSE; //不进入消息循环
}


BEGIN_MESSAGE_MAP(CMainDialog, CDialog)
	//ON_BN_CLICKED(IDC_STOP, OnStop)
	//ON_MESSAGE(WM_CUTTERSTART, OnCutterStart) //自定义消息
END_MESSAGE_MAP()
//CMainDialog
CMainDialog::CMainDialog(CWnd* pParentWnd):CDialog(IDD_MAIN, pParentWnd)
{

}
BOOL CMainDialog::OnInitDialog( )
{
	CDialog::OnInitDialog();
	return TRUE;
}
void CMainDialog::OnCancel( )
{
	CDialog::EndDialog(0);
}


//void CMainDialog::OnStop()
//{
//	MessageBox("OnStop");
//}
//long CMainDialog::OnCutterStart(WPARAM wParam, LPARAM lParam)   //处理自定义消息
//{
//	MessageBox("OnCutterStart");
//	return 0;
//}
 

主程序的头文件 

#include <afxwin.h>
#define  WM_CUTTERSTART WM_USER+100
//CMyApp
class CMyApp:public CWinApp
{
public:
	BOOL InitInstance();
};

//CMyDialog
class CMainDialog:public CDialog
{
public:
	CMainDialog(CWnd* pParentWnd = NULL);

protected:
	virtual BOOL OnInitDialog( );
	//afx_msg void OnStop();
	//afx_msg long OnCutterStart(WPARAM wParam, LPARAM lParam);  //处理自定义消息的声明
	virtual void OnCancel( );



	DECLARE_MESSAGE_MAP()
};

--------------------------------------------------------------------------------------------------------------------------------------

上面就是个对话框的框架

最蛋疼的是,在hook这几个函数时,每个进程的每个模块都要遍历,对已经加载的模块也要遍历,导致堆栈崩溃了。。。

就是递归调用了很多这个函数

//防止自动加载
HMODULE WINAPI CAPIHOOK::LoadLibraryA(LPCTSTR lpFileName)
{
	HMODULE hModule = LoadLibraryA(lpFileName);
	HookNewlyLoadedModule(hModule, 0); //这个函数中忆检测hModule 了
	return(hModule);
}


一天就整了这些代码,完美失败告终。。。SB了一天。。。。
IAT HOOK
hambaga的博客
08-13 609
IAT HOOK是指修改IAT中函数地址的值,使它指向我们自己实现的函数,在我们的函数内部调用原函数的技术。 下面演示对MessageBoxA设置IAT HOOK,运行效果如图: 这里演示了对MessageBoxA的修改,除了改变函数行为,我们还可以监视函数的参数和返回值,此处就不演示了,下面是代码。 // IATHook.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include
C++封装IATHOOK实例
09-04
下面将详细讨论如何在C++中封装IATHOOK以及其实现方法。 首先,IATHOOK封装涉及到定义静态成员变量,这些变量将作为要挂钩的函数的代理。例如,在给定的代码中,我们看到几个静态成员变量`sm_LoadLibraryA`, ...
IAT HOOK 纯手工出品 适合新手学习-易语言
06-11
这个是用到了superEC和精易模块 ,其他就是几个简单的API(模块中自带). 搜索了一下论坛,2014年有个帖子,但是测试了一下不行,需要有dll.... 适合新手学习!大神勿喷. 注意事项: 1.易语言 版本:5.8 2.调试模式不可以,需要编译出来,为了方便下载,编译后打包刚好超过3MB.就没编译. 3.易语言的信息框就是messageboxA,反而模块中的MessageBoxA却hook不到...没有看模块的源码,也不知道是哪个模块里面的.这里请教高手解答一下.. 4. 界面很丑 讲一下这个hook的过程吧,比较有意思的,而且还有很大的拓展: 1.exe,dll可以统称为模块,dll其实和exe本质上是一样的.这里统称为PE文件. 2.当PE文件加载到内存的时候,导入表内保存的需要导入的函数列表,会被释放到内存,同时IAT表中原来的xx会被系统修改为真实的地址. 比如messagebox的真实地址就会被保存到进程空间的IAT表中!从此就不变了,除非重启. 3.那么如果我们自己做一个假函数(参数数量,参数型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候, 就会跳转到我们的函数里面,我们的函数里面可以随意做任何事情.
C++封装IATHOOK
singebogo的博客
05-14 762
本文实例讲述了C++封装IATHOOK的实现方法。分享给大家供大家参考。具体方法如下: 1. 定义成的静态成员,从而实现自动调用 复制代码 代码如下: static CAPIHOOK sm_LoadLibraryA;  static CAPIHOOK sm_LoadLibraryW;  static CAPIHOOK sm_LoadLibraryExA;  static
给别人程序添加打开自己的网址,弹信息框以及IATHook--32位PE模块应用-易语言
06-12
模块我又加了一点功能,小幅度提升了取导入表信息的函数的效率,添加了更多注释, 并且我写了给外部 程序 添加 打开自己的网址,弹自己定义信息的信息框 这几个用到32PE模块的例子,来帮大家学习这个32PE模块的使用,还有我把IAT Hook的例子注释写得更加详细了,优缺点什么的都写进去了 有需要了解更多的可以去上面帖子链接看看 另外说一句:加弹网址 和加信息框这两个列子中 获取相应的函数的地址是通过导入表 在论坛上有一些给其他程序添加信息框的源码是利用了USER32.dllkerne l32.dllDLL在不同进程中地址都一样来实现的 但是不同的电脑地址就不一定了一样了 并且用导入表获取API地址的方式只要你要修改的程序中有相应的API 你在修改的时候就可以使用,利用了USER32.dllkerne l32.dll修改程序的话就只能用这几个DLL的API 所以用导入表获取API地址 可以使用的API更加丰富 也稳定 并且也可以自己修改导入表 就可以调用更多的API 以上只是本人的拙见 有问题还请大家指正
C++实现IATHOOK封装及静态成员应用
"C++封装IATHOOK实例用于实现对IAT(Import Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统中,IAT是PE(Portable Executable)文件...
Hook IAT hookdll资源表
11-21
`API HOOK IAT方法 使用封装 - 操作系统 & 驱动 - VC驿站.htm`很可能是一个教程文档,详细介绍了如何在VC++环境中使用封装进行API Hook IAT操作,可能包括步骤、示例代码和注意事项。 7. **iathook**: 这...
C++基于hook iat改变Messagebox实例
09-04
本实例重点讨论了如何使用C++结合HookIAT(Import Address Table,导入地址表)来改变`MessageBox`函数的行为。 1. **Hook基本概念**: Hook技术主要是通过在函数调用链路中插入自定义的处理代码,使得原本调用...
IAT Hook技术:深入理解API调用拦截
在文件信息中提到的“IATHook.cpp”和“IATHook.h”是源代码文件和头文件,这暗示了存在一个用于实现IAT Hook功能的或函数库。开发者可以通过这个库提供的接口实现IAT Hook技术。 从“API HOOK IAT方法 使用封装...
易语言IAT和EAT Hook例程纯源码
05-19
易语言IAT和EAT Hook例程纯源码
[易语言源码]-雷氏IATHOOK的写法
05-06
[易语言源码]-雷氏IATHOOK的写法
IAT(import address table) hook C++实例
09-13
C++ 通过导入表(IAT)实现inline hook,已经过测试
react组件封装之三剑客(HOC、Render Props、Hook
少吃点肉的博客
03-22 833
封装组件必然是为了逻辑复用,那么下面我们通过使用不同的封装方式去封装一个猫(HOC)、鼠(Render Props)、狗(Hook)跟着鼠标移动的逻辑组件,来看看组件封装的奥妙。 一:HOC(高阶组件) 高阶组件(HOC)是 React 中用于复用组件逻辑的一种高级技巧。HOC 自身不是 React API 的一部分,它是一种基于 React 的组合特性而形成的设计模式。 高阶组件其实就是一个参数是组件,返回值是新组件的函数。 import React from "react"; // H.
IAT_HOOK
心之所向,身之所往
05-25 684
使用IAT  HOOK 截获MessageBox函数 步骤如下 1..写一个自己的MessageBox 函数 注意调用约定为 __stdcall、、 2..定义一MessageBox函数指针如下 typedef int (__stdcall *pOldMBox)(HWNDhWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uType); 3..遍历本
IAT HOOK
weixin_44711063的博客
03-11 743
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
C++ Hook IAT (基于IATHook实践)
一个工具的觉悟
10-07 5409
本实践基于HookImportFunction.cpp(h), 源自星际译王,代码附后 一. 使用方式   本实践由测试主程序部分与测试dll两部分组成,分别编译成功后,先运行test.exe,再使用dll注入工具将hookTest.dll注入到test.exe中,回车运行。 二. 测试主程序(test.exe) 1. 创建Win32控制台空项目文件 2. 创建应用程序入口文件(main
Windows上的IATHook学习
weixin_33798152的博客
10-30 449
简单Demo IATHook原理IATHook 是指 hook 某个进程的导入表函数,当程序运行起来后 IAT 会填入该函数实际的内存地址,这个地址通常都在加载的某个 dll 内存中!然后我们修改这个地址值为我们自写函数所在的地址,当系统调用这个 IAT 函数时,就会跳转到我们所写的函数 代码 #include <windows.h...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值