应用层勾子InLine HOOK

最新推荐文章于 2022-12-13 19:03:11 发布
最新推荐文章于 2022-12-13 19:03:11 发布
阅读量650 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zang141588761/article/details/82890364
本文深入解析了InlineHook技术原理,包括其代码实现与测试过程。通过具体的代码示例,展示了如何使用InlineHook来重定向Windows API函数MessageBoxA,实现自定义消息框功能。适合对系统级编程和API钩子技术感兴趣的读者。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 A、InLine HOOK 原理分析

 B、InLine HOOK 代码编写

 C、InLine HOOK 代码测试

021_绕过驱动保护 已经讲过一次 in line hook

_declspec(naked)

#pragma pack(1) 

//前5字节

77D507EA >    8BFF          MOV EDI,EDI

77D507EC  /.  55            PUSH EBP

77D507ED  |.  8BEC          MOV EBP,ESP

My_MessageBoxA地址 401020


#include "stdafx.h"
#include "hook_test.h"

#include <windows.h>
_declspec(naked)  int My_MessageBox
             (
               HWND hWnd,          // handle of owner window
               LPCTSTR lpText,     // address of text in message box
               LPCTSTR lpCaption,  // address of title of message box
               UINT uType          // style of message box
               )

{  
    __asm 
    {    mov bx,bx
         PUSH EBP
         MOV EBP,ESP

    }
  printf("Hook Ok %x,%s,%s,%x \n",hWnd,lpText,lpCaption,uType);
  __asm
  {
      jmp oldMessageBoxA+5
  }
  __asm pop ebp
  __asm retn 0x10
}

int main(int argc, char* argv[])
{   
    //    printf("Hello World!\n");
    MessageBoxA(NULL,"Hook Test Contect","hook",MB_OK);
    printf("End Process \n");
    getchar();
    return 0;
}

Inline Hook
enjoy5512的博客
06-02 6652
Inline Hooking的实现
Inline Hook 技术:当程序“拐个弯”,你还认得它吗?
最新发布
仇辉攻防的博客
06-01 1089
本文系统介绍了 Inline Hook 技术在 Windows 安全测试中的原理与实战价值,涵盖 MinHook 框架使用、函数劫持流程及其在红队演练中的典型应用,展示其在执行流控制与行为插桩方面的独特优势。
学习windows 应用层 inline hook 原理总结
weixin_34354945的博客
04-08 150
inline hook 实际上就是指 通过改变目标函数头部的代码来使改变后的代码跳转到我们自己设置的一个函数里,产生hook。 今天就拿MessageBoxA这个api函数来做实验。功能就是当程序调用MessageBoxA 时,我们打印出MessageBoxA的参数   大概代码结构应该是这样 typedef int (WINAPI *MessageBox_type) ( ...
InlineHook是什么?
倒计时
12-26 4365
简单来说,就是修改函数体实现部分。 但是如何来修改,这样修改的意义又是什么? 我今天一直在寻找一个比较好的方式来说明白如何进行InlineHook,画了几次图,试了好几个工具,最后完成了一个流程,希望大家能看明白。 图片: 说明: 左上的图片 这个结构是我们在代码中写入的一个函数 代码如下: __declspec(naked) NTSTATUS NtQueryD
C# inline-hook / api-hook
weixin_34034261的博客
07-24 242
我查阅了一下相关C#方面的资料,却没有发现有提供过关于api-hook方面的资 料包括应用库由此本人编写一套inline-hook的库用于支持x64、x86上的基于在 clr的公共语言,如: c#、c+/clr、vb.net 全部都可以使用该类库改变底层api执 行结果,如我们需要制作抓包工具,或者拦截某个ActiveX对象内部调用的函数  用处广泛 有些人在制作“截包”工具时是通过使用S...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
在本文中,我们将深入探讨如何利用SSDT来对抗ring0级别的inline hook,并通过这种方式绕过这种类型的hook。 首先,我们要理解ring0 inline hook的概念。在x86/x64架构的CPU中,操作系统运行在ring0特权级别,这是...
inlineHook工具类
08-12
综上所述,`inlineHook`工具类是Android开发中的一种高级技巧,它使得开发者能够灵活地控制和修改应用程序的行为,但同时也需要注意其潜在的风险和挑战。熟练掌握`inlineHook`不仅可以提升开发效率,也有助于深入...
一个简单的inline hook
07-27
Inline hook是一种在编程中用于拦截和修改函数调用的技术,尤其在逆向工程和软件调试领域中应用广泛。它的基本思想是通过在目标函数的入口处插入自定义代码,使得在函数实际执行之前,我们的代码能够先运行,从而...
EasyHook应用层inline hook实例
XboxMicro
02-26 4725
大名鼎鼎的detour想必大家都知道,可以detour x64微软居然售价9999美刀...(此处省略吐槽一万字) 在此本菜向大家介绍一款美帝的免费开源库EasyHookinline hook),下面是下载地址 http://easyhook.codeplex.com/releases/view/24401 把头文件 lib文件全拷贝在工程文件夹中,把dll拷贝在%system32%
Windows驱动层inline hook入门教程与示例
- **压缩包子文件**:文件名称列表中的“inlinehook_ObReferenceObjectByHandle”可能包含实际的驱动程序代码、编译好的驱动程序文件、测试用的应用程序或者其他辅助脚本。 #### 7. 开发内核驱动的注意事项 - **...
应用层IAT hook
11-01
应用层R3 IAT hook代码实现
支持所有window所有平台的钩子注入应用层
10-09
winxp、win2003、vista、win7、win8 平台的32位和64位进程的钩子注入(已经应用在产品中)需要的朋友请下载。
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
Windows 64位和32位Inline Hook的例子。包括C语言代码,和封装好的C++类,绝对超值,超简单实用的例子,可以直接运行,用了绝对说好!
vc inline hook
08-01
vc inline hookvc inline hookvc inline hookvc inline hookvc inline hookvc inline hookvc inline hook
dotnet-csharpInlineHook是一个可以将托管dll注入到非托管进程hook
08-15
csharp_InlineHook,是一个可以将托管dll注入到非托管进程hook
应用层InLine Hook
04-26 2100
by czy 我的思路:1.得到本进程中包含被挂接API的DLL的基地址,该DLL代码节的虚拟偏移以及该API的入口地址.API入口地址-(代码节虚拟偏移+DLL基地址)=函数入口相对于代码节的偏移2.得到目标进程的PID,以及目标进程包含被挂接API的DLL的基地址(注意一般来说和前面自身进程的值相同)前面得到的函数入口偏移+DLL基地址+代码节虚拟偏移=目标进程API函数入口地址3.打开目
网络靶场实战-安全开发之应用层Hook技术
蛇矛实验室
12-13 534
IAT(import address table,导入地址表)是指PE文件格式中的一个表结构,说到IAT就离不开导入表,在实际的开发过程中,难免会使用到Windows API,这些API的代码保存在Windows提供的不同的DLL(动态链接库)文件中,DLL将这些API导出,在可执行程序中使用到其他DLL的代码或数据时,编译器会将这些导入的信息填充到可执行程序的导入表中。由于VEH的异常处理发生在之前,所以通过`主动抛出异常,使程序触发异常,进而使控制权交给异常处理例程的这一系列操作来实现Hook
应用层勾子IAT HOOK(源码)
liujiayu2的专栏
06-28 723
//www.yjxsoft.com 2010.6.26 //文件名 IAT.H #include VOID __stdcall mySleep(DWORD m) { MessageBoxA(0,"Hook 成功","IAT hook",MB_OK); } PVOID EnumAPI() { PBYTE ImageBase; PIMAGE_THUNK_DATA r; PI
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值