标 题: EAT/IAT Hook

作 者: Y4ng

时 间: 2013-08-21

链 接: http://www.cnblogs.com/Y4ng/p/EAT_IAT_HOOK.html

#include <windows.h>

#include <shlwapi.h>

#include <wchar.h>

DWORD MyZwGetContextThread(HANDLE Thread,LPCONTEXT lpContext)

{

  memset(lpContext,,sizeof(CONTEXT));

  return ;

}

DWORD MyZwSetContextThread(HANDLE Thread,LPCONTEXT lpContext)

{

  memset(lpContext,,sizeof(CONTEXT));

  return ;

}

/**********************************************************

IAT Hook :挂钩目标输入表中的函数地址

参数:

char *szDLLName 函数所在的DLL

char *szName    函数名字

void *Addr      新函数地址

***********************************************************/

DWORD IATHook(char *szDLLName,char *szName,void *Addr)

{

  DWORD Protect;

  HMODULE hMod=LoadLibrary(szDLLName);

  DWORD RealAddr=(DWORD)GetProcAddress(hMod,szName);

  hMod=GetModuleHandle(NULL);

    IMAGE_DOS_HEADER * DosHeader   =(PIMAGE_DOS_HEADER)hMod;

    IMAGE_OPTIONAL_HEADER * Opthdr =(PIMAGE_OPTIONAL_HEADER)((DWORD)hMod+DosHeader->e_lfanew+);

    IMAGE_IMPORT_DESCRIPTOR *pImport =(IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)DosHeader+Opthdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

    if(pImport==NULL)

    {

        return FALSE;

    }

    IMAGE_THUNK_DATA32 *Pthunk=(IMAGE_THUNK_DATA32*)((DWORD)hMod+pImport->FirstThunk);

  while(Pthunk->u1.Function)

  {

    if(RealAddr==Pthunk->u1.Function)

    {

      VirtualProtect(&Pthunk->u1.Function,0x1000,PAGE_READWRITE,&Protect);

      Pthunk->u1.Function=(DWORD)Addr;

      break;

    }

    Pthunk++;

  }

  return TRUE;

}

/**********************************************************

EAT Hook :挂钩目标输出表中的函数地址

***********************************************************/

BOOL EATHook(char *szDLLName,char *szFunName,DWORD NewFun)

{

  DWORD addr=;

  DWORD index=;

  HMODULE hMod=LoadLibrary(szDLLName);

    DWORD Protect;

    IMAGE_DOS_HEADER * DosHeader   =(PIMAGE_DOS_HEADER)hMod;

    IMAGE_OPTIONAL_HEADER * Opthdr =(PIMAGE_OPTIONAL_HEADER)((DWORD)hMod+DosHeader->e_lfanew+);

    PIMAGE_EXPORT_DIRECTORY Export =(PIMAGE_EXPORT_DIRECTORY)((BYTE*)DosHeader+ Opthdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

    PULONG pAddressOfFunctions     =(ULONG*)((BYTE*)hMod+Export->AddressOfFunctions);

    PULONG pAddressOfNames         =(ULONG*)((BYTE*)hMod+Export->AddressOfNames);

    PUSHORT  pAddressOfNameOrdinals=(USHORT*)((BYTE*)hMod+Export->AddressOfNameOrdinals);

    for (int i=;i <Export->NumberOfNames; i++)

    {

        index=pAddressOfNameOrdinals[i];

        char *pFuncName = (char*)( (BYTE*)hMod + pAddressOfNames[i]);

        if (_stricmp( (char*)pFuncName,szFunName) == )

        {

            addr=pAddressOfFunctions[index];

            break;

        }

    }

  VirtualProtect(&pAddressOfFunctions[index],0x1000,PAGE_READWRITE,&Protect);

    pAddressOfFunctions[index] =(DWORD)NewFun - (DWORD)hMod;

  return TRUE;

}

BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)

{

  if (dwReason == DLL_PROCESS_ATTACH)

  {

    DisableThreadLibraryCalls(hModule);

    IATHook("kernel32.dll","ExitProcess",MyZwGetContextThread);

    //GetProcAddress(LoadLibrary("ntdll.dll"),"NtSetInformationFile");         /** Test EAT HOOK **/

    //ExitThread(0);                                                           /** Test IAT HOOK**/

  }

  return TRUE;

}

转自邓韬

EAT/IAT Hook的更多相关文章

  1. IAT Hook 原理分析与代码编写

    Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的,与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的 ...

  2. ring3下的IAT HOOK

    标 题: [原创]ring3下的IAT HOOK作 者: hostzhen时 间: 2013-03-28,11:30:53链 接: http://bbs.pediy.com/showthread.ph ...

  3. IAT Hook

    @author: dlive 0X01 IAT Hook的优缺点 优点:工作原理与实现都比较简单 缺点:如果想钩取的API不在目标进程的IAT中,那么就无法使用该技术进行钩取操作.即如果要钩取的API ...

  4. hook技术分类

    1.HOOK SERVICE TABLE:HOOK SSDT 这种方法对于拦截 NATIVE API 来说用的比较多. SSDT hook,一句话——Windows把需要调用的内核API地址全都存在了 ...

  5. hook 9大类

    HOOK技术主要分为两大类,一是内核层HOOK,一是用户层HOOK. 用户层HOOK也就是在ring3环境下hook kenerl32.dll.User3.dll.Gui32.dll.Advapi.d ...

  6. Hook基本知识

    一.什么是HOOK(钩子) Windows系统,建立在事件驱动机制上,就是整个系统都是通过消息传递实现的.hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标 ...

  7. C++浅析——虚表和虚表Hook

    为了探究虚表的今生前世,先来一段测试代码 虚函数类: class CTest { public: int m_nData; virtual void PrintData() { printf(&quo ...

  8. hook研究结果备忘

    hook研究结果: 最近一周时间仔细研究了一下hook,也许不能称之为研究吧.顶多是让别人的思想拿过来抄袭一遍而已,写点结果也算对得起自己的这几天的苦心了. 1,首先从同事旁边听到了hook,然后看的 ...

  9. XP下的进程静音技术(遍历进程,遍历输入模块,遍历输入函数,找到函数并HOOK) good

    很多浏览器有这种功能,实现原理都是一样.发声源基本都来自Flash,比如Flash游戏啦,视频播放器啦等等 而Flash的发声都是通过winmm.dll::waveOutWrite函数来完成,所以,我 ...

随机推荐

  1. uva 10020 Minimal coverage

    http://uva.onlinejudge.org/index.php?option=com_onlinejudge&Itemid=8&page=show_problem&p ...

  2. HADOOP在处理HIVE时权限错误的解决办法

    今天,小乔操作时发现问题: org.apache.hadoop.security.AccessControlException: Permission denied: user=root, acces ...

  3. SQL-Employees Earning More Than Their Managers

    思路: 今天复习数据库突然想起来leetcode上数据库的题目,就找来做了 (1)给表取别名 格式见code,这在自身连接的时候是很有必要的 (2)自身连接 from语句后面相当于接了“一张表”,如果 ...

  4. 企业版IDP的申请及“In House”发布

    企业版IDP,即iOS Development Enterprise Program.注意是$299/Year那种,并不是$99/Year的那种. 这种方式的IDP其最大的好处在于:可以发布“In H ...

  5. java Date获取 年月日时分秒

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 3 ...

  6. structured sparsity model

    Data representation往往基于如下最小化问题:         (1) 其中X是观测到的数据的特征矩阵,D是字典,Z是字典上的描述.约束项和使得字典dictionary和描述code具 ...

  7. android 滚动视图(ScrollView)

    为了可以让内嵌布局管理器之中加入多个显示的组件,而且又保证程序不这么冗余,所以可以通过 Activity程序进行控制,向内嵌布局管理器中添加多个组件. ScrollView提供一个显示的容器,可以包含 ...

  8. Linux驱动开发常用头文件

    头文件目录中总共有32个.h头文件.其中主目录下有13个,asm子目录中有4个,linux子目录中有10个,sys子目录中有5个.这些头文件各自的功能如下: 1.主目录 <a.out.h> ...

  9. DataGrid( 数据表格) 组件[9]

    本节课重点了解 EasyUI 中 DataGrid(数据表格)组件的使用方法,这个组件依赖于Panel(面板).Resizeable(调整大小).LinkButton(按钮).Pageination( ...

  10. MVC Controller 基类中的Request

    今天在测试自己MVC程序的时候发现之前写代码的一个BUG,需求是每个页面要获取当前URL链接中包含的城市ID,我把获取url的方法写到了Controller的基类BaseController(Base ...