Hook API之修改指令方法Hook API之修改指令方法.pdfVIP

Hook API 之修改指令方法 和修改IAT 的方法有点不同^_^ #include stdafx.h #include process.h //_beginthread 使用 #define HookModName user32.dll //HOOK 的模块和API #define HookApiName MessageBoxA // 本dll 的handle HANDLE g_hInstance = NULL; //修改API 入口为 mov eax,jmp eax 是程序能跳转到自己的函数 BYTE g_btNewBytes[8] = { 0xB8, 0x0, 0x0, 0x40, 0x0, 0xFF, 0xE0, 0x0 }; // 保存原API 入口的8 个字节 DWORD g_dwOldBytes[8] = { 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0 }; //API 地址 void * m_AddrAPI; // 定义自己的API,参数表和原函数一致，MyHookAPI 中调用的也一样 int WINAPI MyHookAPI(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType); BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call,LPVOID lpReserved) { if(ul_reason_for_call==DLL_PROCESS_ATTACH) { // 获取本dll 句柄 g_hInstance = hModule; // 找到API 地址 HMODULE hWsock = LoadLibrary(HookModName); m_AddrAPI = (void *)GetProcAddress( hWsock,HookApiName); // 保存原始字节 ReadProcessMemory(INVALID_HANDLE_VALUE,m_AddrAPI, ( void * )g_dwOldBytes, sizeof( DWORD )*2, NULL ); // 替换为我们函数的地址 *( DWORD* )( g_btNewBytes + 1 ) = ( DWORD )MyHookAPI; // 改写API 跳向MyHookAPI W riteProcessMemory( INVALID_HANDLE_VALUE,m_AddrAPI,( void * )g_btNewBytes, sizeof( DWORD )*2, NULL ); } return TRUE; } int _stdcall MyHookAPI(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType) { //lpText = strcat(HOOK_,lpText); //((pOldAPI)pOldAPIAddr)(NULL, HOOK 函数显示, NND, 0); //参数表别忘了 //((pOldAPI)pOldAPIAddr)(hWnd,lpText,HOOK,uType); // 恢复指令 WriteProcessMemory( INVALID_HANDLE_VALUE,m_AddrAPI,( void * )g_dwOldBytes, sizeof( DWORD )*2, NULL ); //调用 ::MessageBox(hWnd,lpText,HOOK,uType); // 重新改写，为下次调用 WriteProcessMemory( INVALID_HANDLE_VALUE,m_AddrAPI,( void * )g_btNewBytes, sizeof( DWORD )*2, NULL ); return 0; } HOOKAPI 之修改IAT 法则 HOOK 是一种WINDOWS 下存在很久的技术了。 HOOK 一般分两种1。HOOK MESSAGE 2。HOOK API 本问讨论的是HOOK API 之修改 IAT。（如果你是HOOK 高手就不要看了） 在最初学HOOK-API