IAT HOOK其他进程MessageBox.docVIP

结合网上 资料 简单学习了一个 远程线程、、、 HOOK – 实现HOOK其他进程的Messagebox、、 思路方法如下: 1 DLL的编写(实现IAT hook)、 2 DLL注入工具(远程线程技术 和 简单的MFC控件知识)、 3 简单的测试程序、 1 编写dll、 之前有篇文章HOOK -- IAT HOOK 本进程MessageBoxBOOL WINAPI DllMain( HINSTANCE hInstance, ULONG ulReason, LPVOID Reserved); 何时调用Dllmain、 DllMain的第二个参数fdwReason指明了系统调用Dll的原因、　　 DLL_PROCESS_ATTACH、当一个DLL文件被映射到进程的地址空间时、用此参数掉dllmain 当同一DLL再次映射时 不会再调DllMain函数只增加dll次数、 DLL_PROCESS_DETACH、当DLL被从进程的地址空间解除映射时FreeLibrary 进程结束而解除DLL映射(若是使用的TerminateProcess 则不调)　　 DLL_THREAD_ATTACH、 当进程创建一线程时,跟DLL_PROCESS_ATTACH区别 无论何时创建线程 均会用此参数调用Dllmain 　　 DLL_THREAD_DETACH 如果线程调用了ExitThread来结束线程（线程函数返回时，系统也会自动调用ExitThread），若是TerminateThread 也不会调用DllMain.　　 这里选择如下方式编写 DllMain函数 BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) { If ( fdwReason= =DLL_PROCESS_ATTACH) //加载dll时候 调用DllMain _beginthread(ThreadProc,0,NULL); //创建线程 return TRUE; } 就是说当dll被加载的时候(LoadLirary)、 在DllMain中 实现创建ThreadProc 线程函数、、 而ThreadProc函数 里边 是我们IAT HOOK 的核心代码、、 ThreadProc函数: 功能是 一个应用程序定义的函数作为一个线程的起始地址服务、 要Hook Messagebox 需写一个自己的Messagebox 如下: int __stdcall HookMBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uType) { return MessageBox(NULL,哈哈! HOOK到MessageBox了,HOOK,MB_OK); //证明一下Hook成功 } 在线程函数中 完成我们的ITA HOOK 的代码: 1 获取本进程的模块基址 HANDLE pBegin = GetModuleHandle(NULL); 2 初始化PE结构 得到 IAT的地址 PBYTE pBegin2 = (PBYTE)pBegin; PIMAGE_DOS_HEADER DOS = PIMAGE_DOS_HEADER(pBegin2); PIMAGE_NT_HEADERS NT = PIMAGE_NT_HEADERS(pBegin2+DOS-e_lfanew); PIMAGE_OPTIONAL_HEADER OPTION = (NT-OptionalHeader); PIMAGE_IMPORT_DESCRIPTOR IMPORT = PIMAGE_IMPORT_DESCRIPTOR(OPTION-DataDirectory[1].VirtualAddress + pBegin2); 3 遍历寻找IMPORT-FirstThunk的内容 当其与真正的MessageBox的地址相等时 即可 真正的MessageBoxA的地址 在程序之前得到 即DWORD RealBox = (DWORD)MessageBox、 while (pOriginalThunk-u1.Function) //记住是 Function { PDWORD lpAddr = (DWORD *)( pBegin2+ (DWORD)IMPORT-FirstThunk); if (*lpAddr = = RealBox) { 找到后 即找到了此PE的Message