旅途

如果想飛得高，就該把地平線忘掉

關于攔截api的hook

如何Hook Win32 API呢？實際上Win32 API是由一組動態鏈接庫實現的，使用動態鏈接庫是為了盡可能的共享內存。由于動態鏈接庫是動態裝入的，所以Win32 API函數的入口點也是動態確定的。當WINDOWS應用程序在調用Win32 API的時候，并不是直接調用某個函數地址，而是調用某處所存儲的一個動態確定的函數地址來實現間接調用地，該處被命名為Import Address Table(簡稱IAT)。知道了這一點，接下來要做的就是想辦法找到這個存儲單元的位置，然后將其內容替換為接管函數的入口地址，不過得事先保存原函數的入口地址，以便執行了接管函數的代碼后，可以在適當的地方以適當的方式再調用原函數。最后退出的時候或是不想再鉤著它的時候，再將其恢復為原函數的入口地址。這就是Hook Win32 API的基本步驟，具體實現過程這里就不贅述了，可以參閱《WINDOWS 核心編程》(Jeffrer Richter著)

posted on 2007-07-29 10:37 旅途閱讀(613) 評論(0) 編輯收藏引用所屬分類: 深入windows

只有注冊用戶登錄后才能發表評論。


相關文章: 計算機虛擬內存最小值太低的解決和處理辦法垃圾收集機制 PE文件格式一個后臺運行程序的簡單設計內核級利用通用Hook函數方法檢測進程內核級HOOK的幾種實現與應用用Detours截取Windows程序密碼用DETOURS庫獲取NT管理員權限 win2k api攔截的代碼自己輸入了 Win2K下的Api函數的攔截

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

統計信息

隨筆 - 117
文章 - 246
評論 - 33
Trackbacks - 0

News

大都是自己看到的書和網文,如果不特別標明"原創",則皆為轉載. 關注下最基礎的東西.

常用鏈接

留言簿(2)

隨筆分類

隨筆檔案

文章分類

文章檔案

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

旅途

關于攔截api的hook

導航

統計信息

News

常用鏈接

留言簿(2)

隨筆分類

隨筆檔案

文章分類

文章檔案

C/C++

安全

操作系統

我自己的

搜索

最新評論

閱讀排行榜

評論排行榜