[原创]利用SEH和INT3实现API HOOK-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]利用SEH和INT3实现API HOOK 0.00雪花

发表于: 2011-3-27 23:50 6059

[旧帖] [原创]利用SEH和INT3实现API HOOK 0.00雪花

weizehua

2011-3-27 23:50

6059

用SEH技术实现API Hook，网上已经有帖子了，可是那些帖子太老，太陈旧，只是适用于95、95时代。
在XP上，网上说的方法根本行不通。

小弟刚学API HOOK，有幸发现在XP上自由使用SEH链的方法，现在把成果公布出来大家一起分享^_^
各位大侠如果已经知道了，不要笑话小弟^_^

设置SEH链：
PVOID AddVectoredExceptionHandler(int 顺序,PVOID ErrorHander)

移除SEH链：
RemoveVectoredExceptionHandler(PVOID ErrorHander)

ErrorHander函数声明：
LONG WINAPI ErrorHandler(struct _EXCEPTION_POINTERS *ep)

好，我的方案是获得Debug权限（这样才能OpenProcess），然后把我的Dll绑到目标程序上。
Dll把SEH链设置好，就等着它上钩^_^

当然，因为SEH链是什么错误都处理的，上钩的不一定是我们想要的鱼，这时我们只要判断EIP就知道是不是我们要的鱼啦^_^

废话不多说，下面附上HOOK了DrawTextExW和TextOutW的程序，带源代码^_^

http://bbs.pediy.com/images/attach/png.gif

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

DrawRedTextW.rar （15.79kb，315次下载）
红色字体.PNG （69.01kb，777次下载）

收藏・23

免费・7

支持

最新回复 (25) 1 2 ▶
hygsnfp 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	hygsnfp 2 楼这个也得要顶上去，，，，， 2011-3-28 19:57 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 3 楼不错,谢谢分享 :) 2011-3-28 20:27 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 4 楼代码这么规范，。。有的地方写的还真详细 2011-3-28 20:38 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 5 楼看到一个问题。。 BOOL GetPIDFromProcessName(LPCTSTR ProcessName) { PROCESSENTRY32 pe; HANDLE ss; unsigned PID = 0; pe.dwSize = sizeof(pe); ss = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); Process32First(ss, &pe); do { if(!lstrcmp(ProcessName, pe.szExeFile)) { PID = pe.th32ProcessID; } }while(Process32Next(ss, &pe)); CloseHandle(ss); SetLastError(0); return PID; } 这里怎么会是BOOL 类型呢？ 2011-3-28 20:44 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 6 楼哈哈,确实哦不过windef.h里这样定义BOOL的 typedef int BOOL; 而微软的编译器int应该是32位的,那么用BOOL也可以存放PID的不过感觉还是用ULONG或者DWORD规范一些 2011-3-28 21:12 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 7 楼有码就喜欢,版主应该给邀请码的吧如果不给楼主可以消息我,我好像还可以买一个 2011-3-28 21:15 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 8 楼谢谢你们的夸奖^_^ 2011-3-28 23:31 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 9 楼恩，那样确实很规范，这获得PID代码是复制的，原版就是用DWORD^_^ 如果是DWORD,我就会去查，到底错误了会不会返回-1呢？于是就不敢直接这样写： if(!func()) return err; 但是用BOOL，我就会很干脆地那样写，所以我觉得BOOL更好哦^_^ 2011-3-28 23:52 0
yy大雄雪币： 183 活跃值： (1223) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 10 楼 LZ的代码看着就爽。。 2011-4-3 17:11 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 11 楼不错下载来看看 2011-4-4 00:02 0
lidyt 雪币： 145 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	lidyt 12 楼标记,回头来学习 2011-4-4 02:53 0
liupanfeng 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	liupanfeng 13 楼谢谢LZ分享。。学习学习。 2011-4-4 03:07 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 14 楼你这个太新了，让我鱼酷无类 2011-4-4 08:18 0
赤目狂人雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 133 粉丝 0 关注私信	赤目狂人 15 楼支持！谢谢分享哈！学习了！ 2011-4-4 10:57 0
sunlulu 雪币： 20 活跃值： (99) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 104 粉丝 0 关注私信	sunlulu 1 16 楼支持楼主，学习了！呵呵！ 2011-4-4 18:35 0
guoye 雪币： 1040 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 0 关注私信	guoye 17 楼学习。。。。 2011-4-18 12:46 0
hello学习雪币： 403 活跃值： (551) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	hello学习 18 楼在xp下为什么运行不成功那，打开记事本后运行程序，记事本就崩溃了。 2011-10-20 21:38 0
雨花带雾雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	雨花带雾 19 楼 mark 2011-11-3 10:51 0
长剑雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	长剑 20 楼不错的东东，感谢楼主了 2011-11-3 11:04 0
dengyangpp 雪币： 248 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	dengyangpp 21 楼等下要试试。。谢lz@ 2011-11-18 15:45 0
littlewisp 雪币： 5335 活跃值： (3729) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 22 楼晚上回家看看 2011-11-18 16:14 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 23 楼这个帖子得顶上去 2011-11-18 18:08 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 24 楼这样会被360报无数字签名的，不知道哥们现在想到了方法吗？ 2011-11-18 18:19 0
gxmhack 雪币： 195 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	gxmhack 25 楼一个字，谢谢，我终于可以安心睡觉了 2012-1-13 05:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

weizehua

发帖

208

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
hygsnfp 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	hygsnfp 2 楼这个也得要顶上去，，，，， 2011-3-28 19:57 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 3 楼不错,谢谢分享 :) 2011-3-28 20:27 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 4 楼代码这么规范，。。有的地方写的还真详细 2011-3-28 20:38 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 5 楼看到一个问题。。 BOOL GetPIDFromProcessName(LPCTSTR ProcessName) { PROCESSENTRY32 pe; HANDLE ss; unsigned PID = 0; pe.dwSize = sizeof(pe); ss = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); Process32First(ss, &pe); do { if(!lstrcmp(ProcessName, pe.szExeFile)) { PID = pe.th32ProcessID; } }while(Process32Next(ss, &pe)); CloseHandle(ss); SetLastError(0); return PID; } 这里怎么会是BOOL 类型呢？ 2011-3-28 20:44 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 6 楼哈哈,确实哦不过windef.h里这样定义BOOL的 typedef int BOOL; 而微软的编译器int应该是32位的,那么用BOOL也可以存放PID的不过感觉还是用ULONG或者DWORD规范一些 2011-3-28 21:12 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 7 楼有码就喜欢,版主应该给邀请码的吧如果不给楼主可以消息我,我好像还可以买一个 2011-3-28 21:15 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 8 楼谢谢你们的夸奖^_^ 2011-3-28 23:31 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 9 楼恩，那样确实很规范，这获得PID代码是复制的，原版就是用DWORD^_^ 如果是DWORD,我就会去查，到底错误了会不会返回-1呢？于是就不敢直接这样写： if(!func()) return err; 但是用BOOL，我就会很干脆地那样写，所以我觉得BOOL更好哦^_^ 2011-3-28 23:52 0
yy大雄雪币： 183 活跃值： (1223) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 10 楼 LZ的代码看着就爽。。 2011-4-3 17:11 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 11 楼不错下载来看看 2011-4-4 00:02 0
lidyt 雪币： 145 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	lidyt 12 楼标记,回头来学习 2011-4-4 02:53 0
liupanfeng 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	liupanfeng 13 楼谢谢LZ分享。。学习学习。 2011-4-4 03:07 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 14 楼你这个太新了，让我鱼酷无类 2011-4-4 08:18 0
赤目狂人雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 133 粉丝 0 关注私信	赤目狂人 15 楼支持！谢谢分享哈！学习了！ 2011-4-4 10:57 0
sunlulu 雪币： 20 活跃值： (99) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 104 粉丝 0 关注私信	sunlulu 1 16 楼支持楼主，学习了！呵呵！ 2011-4-4 18:35 0
guoye 雪币： 1040 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 0 关注私信	guoye 17 楼学习。。。。 2011-4-18 12:46 0
hello学习雪币： 403 活跃值： (551) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	hello学习 18 楼在xp下为什么运行不成功那，打开记事本后运行程序，记事本就崩溃了。 2011-10-20 21:38 0
雨花带雾雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	雨花带雾 19 楼 mark 2011-11-3 10:51 0
长剑雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	长剑 20 楼不错的东东，感谢楼主了 2011-11-3 11:04 0
dengyangpp 雪币： 248 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	dengyangpp 21 楼等下要试试。。谢lz@ 2011-11-18 15:45 0
littlewisp 雪币： 5335 活跃值： (3729) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 22 楼晚上回家看看 2011-11-18 16:14 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 23 楼这个帖子得顶上去 2011-11-18 18:08 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 24 楼这样会被360报无数字签名的，不知道哥们现在想到了方法吗？ 2011-11-18 18:19 0
gxmhack 雪币： 195 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	gxmhack 25 楼一个字，谢谢，我终于可以安心睡觉了 2012-1-13 05:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复