旅途

如果想飛得高，就該把地平線忘掉

關(guān)于攔截api的hook

如何Hook Win32 API呢？實(shí)際上Win32 API是由一組動(dòng)態(tài)鏈接庫(kù)實(shí)現(xiàn)的，使用動(dòng)態(tài)鏈接庫(kù)是為了盡可能的共享內(nèi)存。由于動(dòng)態(tài)鏈接庫(kù)是動(dòng)態(tài)裝入的，所以Win32 API函數(shù)的入口點(diǎn)也是動(dòng)態(tài)確定的。當(dāng)WINDOWS應(yīng)用程序在調(diào)用Win32 API的時(shí)候，并不是直接調(diào)用某個(gè)函數(shù)地址，而是調(diào)用某處所存儲(chǔ)的一個(gè)動(dòng)態(tài)確定的函數(shù)地址來(lái)實(shí)現(xiàn)間接調(diào)用地，該處被命名為Import Address Table(簡(jiǎn)稱IAT)。知道了這一點(diǎn)，接下來(lái)要做的就是想辦法找到這個(gè)存儲(chǔ)單元的位置，然后將其內(nèi)容替換為接管函數(shù)的入口地址，不過(guò)得事先保存原函數(shù) 的入口地址，以便執(zhí)行了接管函數(shù)的代碼后，可以在適當(dāng)?shù)牡胤揭赃m當(dāng)?shù)姆绞皆僬{(diào)用原函數(shù)。最后退出的時(shí)候或是不想再鉤著它的時(shí)候，再將其恢復(fù)為原函數(shù)的入口地址。這就是Hook Win32 API的基本步驟，具體實(shí)現(xiàn)過(guò)程這里就不贅述了，可以參閱《WINDOWS 核心編程》(Jeffrer Richter著)

posted on 2007-07-29 10:37 旅途閱讀(588) 評(píng)論(0) 編輯收藏引用所屬分類: 深入windows

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
【推薦】100%開源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: 計(jì)算機(jī)虛擬內(nèi)存最小值太低的解決和處理辦法垃圾收集機(jī)制 PE文件格式一個(gè)后臺(tái)運(yùn)行程序的簡(jiǎn)單設(shè)計(jì) 內(nèi)核級(jí)利用通用Hook函數(shù)方法檢測(cè)進(jìn)程內(nèi)核級(jí)HOOK的幾種實(shí)現(xiàn)與應(yīng)用用Detours截取Windows程序密碼用DETOURS庫(kù)獲取NT管理員權(quán)限 win2k api攔截的代碼自己輸入了 Win2K下的Api函數(shù)的攔截

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

旅途

關(guān)于攔截api的hook

導(dǎo)航

統(tǒng)計(jì)信息

News

常用鏈接

留言簿(2)

隨筆分類

隨筆檔案

文章分類

文章檔案

C/C++

安全

操作系統(tǒng)

我自己的

搜索

最新評(píng)論

閱讀排行榜

評(píng)論排行榜