API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)

最新推荐文章于 2025-08-19 11:32:47 发布
原创 最新推荐文章于 2025-08-19 11:32:47 发布 · 1.7w 阅读 · 23
标签
#hook #dll #api #64bit #winapi
#null
本文介绍了API Hook的基本原理和一个简单的实现案例,特别是在64位Windows系统上的应用。首先,文章阐述了如何找到并hook API函数,接着展示了如何使用inline hook来替换API函数的原始代码,实现功能的篡改。文中还提到,虽然Detour库提供更稳定的API Hook方案,但本文选择直接进行inline hook以展示核心原理。最后,作者分享了生成DLL并利用DLL注入技术实现在目标进程中进行API Hook的方法,强调在64位环境下需要注意的部分。

一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成

本文完成第一步。

第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。

 

最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进步~~~生气

最后有全部源码下载地址(无毒无害)

inline hook API的原理:

最简单的说,hook api就是找到api所在的位置,然后在这个位置里做些文章。这样,当系统调用这个API的时候,它不知不脚的就运行了我们篡改过的代码,达到我们不可告人的目的~~~网上介绍用detour库进行APIhook,detour库是微软开发的专用的api hook库,内部hook原理和inline hook是一样的,但是因为添加了一些处理调用冲突的代码,所以会比直接手工inline hook稳定些。

而上面说的“做文章”,具体是干什么呢?还是根据例子说的清楚。

下面是一个helloworld级别的hook api,目标:(弹出对话框函数:MessageBoxW)

第一步:找到要hook的api!

我们想hook住这个MessageBoxW,就要知道系统调用它的时候,它在哪里。有些童鞋懂应该上MSDN查,然后大声吼出:在windows.h!!

擦!少年~你弱爆了(其实我在描述当时自学的自己,不是说你的,亲~)。

要知道windows系统在调用这些函数的时候,他们调用的当然是编译好的可执行函数(动态链接库--dll文件),当然不是调用源代码。MSDN这个函数的头文件下面就写着:

DLL
最低0.47元/天 解锁文章
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
简述API HOOK技术及原理
bing1564的博客
05-01 3283
我们观察内核代码的时候,很多时候一些函数调用都初始化的时候设置成回调函数的,例如上一个例子读取文件目录,那么proc有自己独有的读取目录处理函数,相对于的ext4、ceph、hpfs等等文件系统都有自己的处理函数,那么getdents的时候如何能调用到正确的处理函数呢?而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数又使用各自对应的结构体来初始化后续的调用函数。
Hook实现文件监控
sinat_36391009的博客
11-29 7533
介绍 该Windows文件监控系统旨在为Windows环境中的文件提供安全性。我需要设计一个应用程序来监视Windows上的文件打开、关闭保存操作,并限制用户在安装此实用程序之前访问文件类型的子集。这是通过连接Windows文件相关api,然后根据需要在Windows中对文件进行打开、保存关闭操作的预处理来实现的。预处理可能是对文件进行加密,破坏文件的标题部分等。如果在系统上安装了这个实用程序...
Hook导入表 —— 实现挂钩FreeLibarayHOOK延迟加载模块的API
weixin_30641465的博客
04-29 237
  最近在研究Windows Ring3上的API Hook,对HOOK导入表这种方法进行了研究。HOOK导入表所用的C++类大同小异,不同的就是如何实现HOOK一个延迟加载的模块中的函数,以及FreeLibaray某个函数之后再次LoadLibaray加载这个模块所导致的模块基地址不同的时候,这时该如何HOOK住这个模块中的API。  显然地,挂钩LoadLibarayA/W、LoadLibar...
关于api hook的知识整理
Larry的专栏
11-16 1438
最近做一个小工具需要在win7的x86x64上面hook一些系统api调用。使用原来的iat方式没有效果。 以下是在网上搜索到的一些讯息: MHOOK, AN API HOOKING LIBRARY, V2.2 http://codefromthe70s.org/mhook22.aspx Detours http://research.microsoft.com
【软件安全】API HOOK
Li_Jiaqian的博客
04-18 1239
API HOOK 顾名思义是挂钩API函数,拦截,控制某些API函数的调用,用于改变API执行结果的技术。 大致流程: 进入进程->获取相关权限->将我们写的dll写入进程内存->加载kernel32中的LoadLibrary()以调用我们写的dll。 http://blog.csdn.net/junbopengpeng/article/details/28142669一文中
GetProcAddress
mpp_king的博客
02-26 8474
GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。  函数原型:  FARPROC GetProcAddress(  HMODULE hModule, // DLL模块句柄  LPCSTR lpProcName // 函数名  ); 参数: hModule  [in] 包含此函数的DLL模块的句柄。LoadLibrary、AfxLoadLibrary 或者GetMo...
9.3 挂钩API技术(HOOK API
qq_36314864的博客
09-29 3608
9.3 挂钩API技术(HOOK API
没有HOOK就没有病毒?详谈HOOK API技术(转)
cuankuangzhong6373的博客
03-25 814
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFSNDIS过滤等。比如大家熟悉的即时翻...
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 1255
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
Hook API的学习笔记
饮马流花河
08-21 3508
一、什么是API Hook    见下图所示,API Hook就是对API的正常调用起一个拦截或中间层的作用,这样可以在调用正常的API之前得到控制权,执行自己的代码。其中Module指映射到内存中的可执行文件或DLL。      module0    module1 |       |CALL module1!API001 --------------------------------
使用MinHook进行APIHook
qq_38493448的博客
01-21 6421
文章目录一、Hook概述1.1 什么是Hook1.2 什么是APIHook1.3 Hook过程理解二、Hook分类2.0 分类概述2.1 Address Hook2.2 Inline Hook2.3 基于异常处理的Hook三、MinHook库介绍3.1 MinHook代码3.2 头文件定义中文说明:四、Hook实现过程 一、Hook概述 1.1 什么是HookHook” 翻译过来的意思是“挂钩” “钩子”,在程序执行的时候,在适当的位置对程序运行流程进行监控、拦截即为Hook技术。 1.2 什么是API
深入探索API Hook技术与实现
最新发布
weixin_36078669的博客
08-19 1336
在现代软件开发中,API Hook技术是不可或缺的一部分,它使得开发者能够监控控制应用程序调用的系统API。通过API Hook,开发者可以实现软件调试、系统监控、安全分析以及恶意软件检测等多种功能。简单来说,API Hook技术就是一种通过拦截API调用来修改或增强系统或应用程序行为的技术。它可以让我们在应用程序运行时,插入自定义的代码来影响API调用的正常流程。
API Hook的实现
Buffalo's Blog
10-11 1862
一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是机器指令(听上去真是有点恐怖,不过这是事实)。当前广泛使用Windows操作系统中,像Win 9xWin NT/2K,都提供了一种比较
API Hook技术深度解析:winxGui winx 2.3.01
weixin_36064575的博客
09-10 1328
本文还有配套的精品资源,点击获取 简介:API Hook技术是监控、拦截修改其他应用程序API调用的强大手段,在winxGui winx 2.3.01版本中扮演重要角色。本文探讨了API Hook的类型、功能、核心组件以及如何应用于性能优化、调试、安全功能扩展。文中还强调了API Hook正确使用的注意事项,帮助开发者深入了解掌握API Hook技术。 1....
DocLocker - 文档外发控制系统
DebugMind的专栏
07-02 662
DocLocker -文档外发控制系统 1 产品背景 在信息技术高度发达的今天,业务交流越来越多地使用电子文件形式,而这些电子文件可能是企业的核心资产。由于电子文件具有易扩散的特性,如果这些核心资产在业务交流中发生泄露,无疑将给企业带来巨大的损失。使用文档外发控制系统,可有效防止文档在业务交流过程中的使用权限、使用行为,彻底解决敏感文档在业务交流中的安全问题。 DocLocker是一款用于...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值