[求助]当前程序的API Hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]当前程序的API Hook

发表于: 2013-8-14 10:55 3881

[求助]当前程序的API Hook

liuminai

2013-8-14 10:55

3881

《Windows核心编程》中讲到一个例子，通过某种方式（消息钩子）修改某个程序的导入表（用的是本书经典的API Hook代码，被修改的程序可以是记事本），完成对MessageBox函数地址的替换，从而实现对MessageBox下钩子。问题有两个，一是这种方式为什么对当前程序无效？二是如果被挂钩的进程已经提前运行，其对MessageBox的调用在内存中已经是一个地址了吧，应该不需要再次通过导入表获取地址，那请问API Hook为什么可以生效？
还请大神不吝赐教

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (2)
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼已经运行，但是没有使用这个地址的话。是没有解析的~~ 这个好像是叫懒绑定？ 2013-8-14 15:05 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼这个不清楚。。不过有个问题自己load获取的地址后来被iat hook后在调用该地址。应该可以绕过iat hook把 2013-8-17 21:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liuminai

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼已经运行，但是没有使用这个地址的话。是没有解析的~~ 这个好像是叫懒绑定？ 2013-8-14 15:05 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼这个不清楚。。不过有个问题自己load获取的地址后来被iat hook后在调用该地址。应该可以绕过iat hook把 2013-8-17 21:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复