[原创][封装]简单易用的Api Hook函数 - MyApiHookFun-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创][封装]简单易用的Api Hook函数 - MyApiHookFun

发表于: 2015-6-7 22:48 9110

[原创][封装]简单易用的Api Hook函数 - MyApiHookFun

BinGzL

2015-6-7 22:48

9110

使用方法:
0.首先使用者请保证跑我的函数时已经注入到目标程序中
1.引用外部变量
extern DWORD *g_pApiAddr;
extern BYTE *g_pOldCode;
2.建立一个hook后工作函数

以下是hook后的测试函数
LPVOID _declspec(naked) WINAPI TestFun(LPVOID UnKnow1, LPVOID UnKnow2)
{
::MessageBox(NULL, TEXT("这是一个hook提示"), TEXT("提示"), NULL);

//以下汇编不可动
_asm
{
      push g_pOldCode
      ret;
}
}

3.调用
例子:
MODULEAPI tagModuleAPI = {
      {TEXT("kernel32.dll"), "ExitProcess"},
};
MyApiHookFun(&tagModuleAPI,TestFun);
MyApiHookFun.h:

#pragma once
#include <windows.h>
//////////////////////////////////////////////////////////////////////////
//定义
typedef struct _MODULE_API
{
    TCHAR *pModuleName;
    char  *pApiName;
}MODULEAPI,*PMODULEAPI;
//////////////////////////////////////////////////////////////////////////
//函数声明
BOOL WINAPI MyApiHookFun(PMODULEAPI pModuleAPI, LPVOID pfnHookFun);

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

Code_MyApiHookFun.rar （1.53kb，121次下载）

收藏・12

免费・3

支持

最新回复 (16)
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 2 楼通用性如何？支持X64么？ 2015-6-8 08:08 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼喜欢这个。。。直接用上试试 2015-6-8 09:43 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 4 楼肯定不支持64位 2015-6-8 10:08 0
慢吞吞雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	慢吞吞 5 楼 i下载收一份 2015-6-8 23:19 0
BinGzL 雪币： 393 活跃值： (224) 能力值： ( LV8，RANK：140 ) 在线值：发帖 20 回帖 184 粉丝 4 关注私信	BinGzL 1 6 楼不支持x64,指针长度不一样 shellcode没办法写,有需要我改个x64的 2015-6-9 16:44 0
menglv 雪币： 10665 活跃值： (3574) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 7 楼留个脚印，收藏一个。 2015-6-27 13:11 0
yaoguen 雪币： 4605 活跃值： (4527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 143 粉丝 1 关注私信	yaoguen 8 楼需要支持x64的 2015-6-28 17:27 0
Dvsz 雪币： 224 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	Dvsz 9 楼谢谢分享！ 2015-6-29 09:24 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 10 楼留下脚印。谢谢分享 2015-6-30 19:27 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 11 楼多线程环境下不把所有线程暂停hook的话会有概率崩溃 2015-7-1 16:17 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 12 楼对真正稳定的代码是更复杂的我后来才理解detours为啥那么多代码 2015-7-2 11:56 0
wswm 雪币： 229 活跃值： (94) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 193 粉丝 2 关注私信	wswm 13 楼恕小生愚昧，LPVOID _declspec(naked) WINAPI TestFun(LPVOID UnKnow1, LPVOID UnKnow2)这个函数是两个参数的，而ExitProcess是一个参数的，这样InlineHook 栈会平衡吗？ 2015-12-29 18:21 0
BinGzL 雪币： 393 活跃值： (224) 能力值： ( LV8，RANK：140 ) 在线值：发帖 20 回帖 184 粉丝 4 关注私信	BinGzL 1 14 楼我当初是简单测试过的，而且这个也不是很完美，比如没有写一个取指令长度的引擎。不过在裸函数中，也就随意了。可以使用任意引擎改进下代码，比如我的。标题: 【原创】国庆时完工的反汇编引擎源码作者: BinGzL 时间: 2015-11-26,10:22:12 链接: http://bbs.pediy.com/showthread.php?t=206071 或者可以使用下面这个我朋友封装好的通用hook代码模板 http://www.jmpoep.com/thread-34-1-1.html 2015-12-29 22:21 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 15 楼楼主，我直接指出你的错误吧！第一，这个不支持X64位，从你的回答中也看到你知道这个问题了。第二有一个问题，就是，这个HOOK没有注意多线程安全，HOOK是要强调多线程安全的，你的HOOK函数在执行时，你没有保证HOOK不会被别的线程打断，在单线程程序，也就是只有一个主线程的程序里，你的HOOK函数在执行时是可以保证不会被打断的，因为，只有一个主线程，没有别的线程打断你的HOOK了，但是，如果是在一个多线程程序中，并且是频繁调用被HOOK的函数的程序中，问题就出来了，首先，你的HOOK函数，并没有暂停别的线程，这样就有可能导致，别的线程在执行原来的指令时，有几率会被你写入的新的指令覆盖，这会导致不可预估的错误！不注意多线程安全，是大多数HOOK的通病啊！毕竟，我们在写程序的时候，一直是在单线程中的main函数中编写的，可是要是到了，多线程环境，或者是内核的APC回调函数中，那可就惨了，因为你不知道这些不属于main函数调用的东西是什么时候去调用你正在HOOK的函数，要是在这些函数被别的线程或者内核回调APC中调用你正在HOOK的函数的话，你惨了，HOOK这时候还没完成，指令早就不知道被你写飞到哪里去了！ 2015-12-30 01:07 0
BinGzL 雪币： 393 活跃值： (224) 能力值： ( LV8，RANK：140 ) 在线值：发帖 20 回帖 184 粉丝 4 关注私信	BinGzL 1 16 楼感谢指出，我写hook还真是没注意过这个问题，也没有触发过。tks 2015-12-30 09:42 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 17 楼你编程的时候，或者说，你自己开发的时候是在main函数下的，一般情况下这个函数是单线程的，就不会遇到我说的打断hook的问题，但是一旦在别的机器上运行或者是用别的库函数，或者是需要多线程处理的函数，还有内核回调函数的情况下，就有一定的几率遇到这个问题！这个几率是很低的，所以你很可能不会遇到过，但是代表你不会遇到！只是遇到的几率很低而已！ 2015-12-30 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

BinGzL

发帖

184

回帖

140

RANK

关注

私信

他的文章

[原创]第一题分析 4120

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 2 楼通用性如何？支持X64么？ 2015-6-8 08:08 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼喜欢这个。。。直接用上试试 2015-6-8 09:43 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 4 楼肯定不支持64位 2015-6-8 10:08 0
慢吞吞雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	慢吞吞 5 楼 i下载收一份 2015-6-8 23:19 0
BinGzL 雪币： 393 活跃值： (224) 能力值： ( LV8，RANK：140 ) 在线值：发帖 20 回帖 184 粉丝 4 关注私信	BinGzL 1 6 楼不支持x64,指针长度不一样 shellcode没办法写,有需要我改个x64的 2015-6-9 16:44 0
menglv 雪币： 10665 活跃值： (3574) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 7 楼留个脚印，收藏一个。 2015-6-27 13:11 0
yaoguen 雪币： 4605 活跃值： (4527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 143 粉丝 1 关注私信	yaoguen 8 楼需要支持x64的 2015-6-28 17:27 0
Dvsz 雪币： 224 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	Dvsz 9 楼谢谢分享！ 2015-6-29 09:24 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 10 楼留下脚印。谢谢分享 2015-6-30 19:27 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 11 楼多线程环境下不把所有线程暂停hook的话会有概率崩溃 2015-7-1 16:17 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 12 楼对真正稳定的代码是更复杂的我后来才理解detours为啥那么多代码 2015-7-2 11:56 0
wswm 雪币： 229 活跃值： (94) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 193 粉丝 2 关注私信	wswm 13 楼恕小生愚昧，LPVOID _declspec(naked) WINAPI TestFun(LPVOID UnKnow1, LPVOID UnKnow2)这个函数是两个参数的，而ExitProcess是一个参数的，这样InlineHook 栈会平衡吗？ 2015-12-29 18:21 0
BinGzL 雪币： 393 活跃值： (224) 能力值： ( LV8，RANK：140 ) 在线值：发帖 20 回帖 184 粉丝 4 关注私信	BinGzL 1 14 楼我当初是简单测试过的，而且这个也不是很完美，比如没有写一个取指令长度的引擎。不过在裸函数中，也就随意了。可以使用任意引擎改进下代码，比如我的。标题: 【原创】国庆时完工的反汇编引擎源码作者: BinGzL 时间: 2015-11-26,10:22:12 链接: http://bbs.pediy.com/showthread.php?t=206071 或者可以使用下面这个我朋友封装好的通用hook代码模板 http://www.jmpoep.com/thread-34-1-1.html 2015-12-29 22:21 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 15 楼楼主，我直接指出你的错误吧！第一，这个不支持X64位，从你的回答中也看到你知道这个问题了。第二有一个问题，就是，这个HOOK没有注意多线程安全，HOOK是要强调多线程安全的，你的HOOK函数在执行时，你没有保证HOOK不会被别的线程打断，在单线程程序，也就是只有一个主线程的程序里，你的HOOK函数在执行时是可以保证不会被打断的，因为，只有一个主线程，没有别的线程打断你的HOOK了，但是，如果是在一个多线程程序中，并且是频繁调用被HOOK的函数的程序中，问题就出来了，首先，你的HOOK函数，并没有暂停别的线程，这样就有可能导致，别的线程在执行原来的指令时，有几率会被你写入的新的指令覆盖，这会导致不可预估的错误！不注意多线程安全，是大多数HOOK的通病啊！毕竟，我们在写程序的时候，一直是在单线程中的main函数中编写的，可是要是到了，多线程环境，或者是内核的APC回调函数中，那可就惨了，因为你不知道这些不属于main函数调用的东西是什么时候去调用你正在HOOK的函数，要是在这些函数被别的线程或者内核回调APC中调用你正在HOOK的函数的话，你惨了，HOOK这时候还没完成，指令早就不知道被你写飞到哪里去了！ 2015-12-30 01:07 0
BinGzL 雪币： 393 活跃值： (224) 能力值： ( LV8，RANK：140 ) 在线值：发帖 20 回帖 184 粉丝 4 关注私信	BinGzL 1 16 楼感谢指出，我写hook还真是没注意过这个问题，也没有触发过。tks 2015-12-30 09:42 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 17 楼你编程的时候，或者说，你自己开发的时候是在main函数下的，一般情况下这个函数是单线程的，就不会遇到我说的打断hook的问题，但是一旦在别的机器上运行或者是用别的库函数，或者是需要多线程处理的函数，还有内核回调函数的情况下，就有一定的几率遇到这个问题！这个几率是很低的，所以你很可能不会遇到过，但是代表你不会遇到！只是遇到的几率很低而已！ 2015-12-30 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复