标 题: EAT/IAT Hook

作 者: Y4ng

时 间: 2013-08-21

链 接: http://www.cnblogs.com/Y4ng/p/EAT_IAT_HOOK.html

#include <windows.h>

#include <shlwapi.h>

#include <wchar.h>

DWORD MyZwGetContextThread(HANDLE Thread,LPCONTEXT lpContext)

{

  memset(lpContext,,sizeof(CONTEXT));

  return ;

}

DWORD MyZwSetContextThread(HANDLE Thread,LPCONTEXT lpContext)

{

  memset(lpContext,,sizeof(CONTEXT));

  return ;

}

/**********************************************************

IAT Hook :挂钩目标输入表中的函数地址

参数:

char *szDLLName 函数所在的DLL

char *szName    函数名字

void *Addr      新函数地址

***********************************************************/

DWORD IATHook(char *szDLLName,char *szName,void *Addr)

{

  DWORD Protect;

  HMODULE hMod=LoadLibrary(szDLLName);

  DWORD RealAddr=(DWORD)GetProcAddress(hMod,szName);

  hMod=GetModuleHandle(NULL);

    IMAGE_DOS_HEADER * DosHeader   =(PIMAGE_DOS_HEADER)hMod;

    IMAGE_OPTIONAL_HEADER * Opthdr =(PIMAGE_OPTIONAL_HEADER)((DWORD)hMod+DosHeader->e_lfanew+);

    IMAGE_IMPORT_DESCRIPTOR *pImport =(IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)DosHeader+Opthdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

    if(pImport==NULL)

    {

        return FALSE;

    }

    IMAGE_THUNK_DATA32 *Pthunk=(IMAGE_THUNK_DATA32*)((DWORD)hMod+pImport->FirstThunk);

  while(Pthunk->u1.Function)

  {

    if(RealAddr==Pthunk->u1.Function)

    {

      VirtualProtect(&Pthunk->u1.Function,0x1000,PAGE_READWRITE,&Protect);

      Pthunk->u1.Function=(DWORD)Addr;

      break;

    }

    Pthunk++;

  }

  return TRUE;

}

/**********************************************************

EAT Hook :挂钩目标输出表中的函数地址

***********************************************************/

BOOL EATHook(char *szDLLName,char *szFunName,DWORD NewFun)

{

  DWORD addr=;

  DWORD index=;

  HMODULE hMod=LoadLibrary(szDLLName);

    DWORD Protect;

    IMAGE_DOS_HEADER * DosHeader   =(PIMAGE_DOS_HEADER)hMod;

    IMAGE_OPTIONAL_HEADER * Opthdr =(PIMAGE_OPTIONAL_HEADER)((DWORD)hMod+DosHeader->e_lfanew+);

    PIMAGE_EXPORT_DIRECTORY Export =(PIMAGE_EXPORT_DIRECTORY)((BYTE*)DosHeader+ Opthdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

    PULONG pAddressOfFunctions     =(ULONG*)((BYTE*)hMod+Export->AddressOfFunctions);

    PULONG pAddressOfNames         =(ULONG*)((BYTE*)hMod+Export->AddressOfNames);

    PUSHORT  pAddressOfNameOrdinals=(USHORT*)((BYTE*)hMod+Export->AddressOfNameOrdinals);

    for (int i=;i <Export->NumberOfNames; i++)

    {

        index=pAddressOfNameOrdinals[i];

        char *pFuncName = (char*)( (BYTE*)hMod + pAddressOfNames[i]);

        if (_stricmp( (char*)pFuncName,szFunName) == )

        {

            addr=pAddressOfFunctions[index];

            break;

        }

    }

  VirtualProtect(&pAddressOfFunctions[index],0x1000,PAGE_READWRITE,&Protect);

    pAddressOfFunctions[index] =(DWORD)NewFun - (DWORD)hMod;

  return TRUE;

}

BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)

{

  if (dwReason == DLL_PROCESS_ATTACH)

  {

    DisableThreadLibraryCalls(hModule);

    IATHook("kernel32.dll","ExitProcess",MyZwGetContextThread);

    //GetProcAddress(LoadLibrary("ntdll.dll"),"NtSetInformationFile");         /** Test EAT HOOK **/

    //ExitThread(0);                                                           /** Test IAT HOOK**/

  }

  return TRUE;

}

转自邓韬

EAT/IAT Hook的更多相关文章

  1. IAT Hook 原理分析与代码编写

    Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的,与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的 ...

  2. ring3下的IAT HOOK

    标 题: [原创]ring3下的IAT HOOK作 者: hostzhen时 间: 2013-03-28,11:30:53链 接: http://bbs.pediy.com/showthread.ph ...

  3. IAT Hook

    @author: dlive 0X01 IAT Hook的优缺点 优点:工作原理与实现都比较简单 缺点:如果想钩取的API不在目标进程的IAT中,那么就无法使用该技术进行钩取操作.即如果要钩取的API ...

  4. hook技术分类

    1.HOOK SERVICE TABLE:HOOK SSDT 这种方法对于拦截 NATIVE API 来说用的比较多. SSDT hook,一句话——Windows把需要调用的内核API地址全都存在了 ...

  5. hook 9大类

    HOOK技术主要分为两大类,一是内核层HOOK,一是用户层HOOK. 用户层HOOK也就是在ring3环境下hook kenerl32.dll.User3.dll.Gui32.dll.Advapi.d ...

  6. Hook基本知识

    一.什么是HOOK(钩子) Windows系统,建立在事件驱动机制上,就是整个系统都是通过消息传递实现的.hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标 ...

  7. C++浅析——虚表和虚表Hook

    为了探究虚表的今生前世,先来一段测试代码 虚函数类: class CTest { public: int m_nData; virtual void PrintData() { printf(&quo ...

  8. hook研究结果备忘

    hook研究结果: 最近一周时间仔细研究了一下hook,也许不能称之为研究吧.顶多是让别人的思想拿过来抄袭一遍而已,写点结果也算对得起自己的这几天的苦心了. 1,首先从同事旁边听到了hook,然后看的 ...

  9. XP下的进程静音技术(遍历进程,遍历输入模块,遍历输入函数,找到函数并HOOK) good

    很多浏览器有这种功能,实现原理都是一样.发声源基本都来自Flash,比如Flash游戏啦,视频播放器啦等等 而Flash的发声都是通过winmm.dll::waveOutWrite函数来完成,所以,我 ...

随机推荐

  1. Highly divisible triangular number

    我的那个暴力求解,太耗时间了. 用了网上产的什么因式分解,质因数之类的.确实快!还是数学基础不行,只能知道大约. The sequence of triangle numbers is generat ...

  2. 8.2.1.3 Range Optimization

    8.2.1.3 Range Optimization 范围访问方法使用一个单个的索引来检索表记录的自己,包含在一个或者索引值区间. 它可以用于一个单独的部分或者多个部分的索引,下面章节给出了一个详细的 ...

  3. 【转】中断处理函数中不用disable_irq而用disable_irq_nosync原因

    原文网址:http://blog.csdn.net/skyflying2012/article/details/8265869 今天在写触摸屏驱动时在中断处理函数中使用disable_irq关中断发现 ...

  4. sigaction函数的使用

    sigaction函数的功能是检查或修改与指定信号相关联的处理动作(可同时两种操作). 他是POSIX的信号接口,而signal()是标准C的信号接口(如果程序必须在非POSIX系统上运行,那么就应该 ...

  5. [置顶] 白话最小边覆盖总结--附加 hdu1151结题报告

    刚开始看到这个题目的时候就觉得想法很明了,就是不知道如何去匹配... 去网上看了不少人的解题报告,但是对于刚接触“最小边覆盖”的我来说....还是很困难滴....于是自己又开始一如以往学习“最大独立集 ...

  6. storm高级原语-Transactional topology

    参考: http://xumingming.sinaapp.com/736/twitter-storm-transactional-topolgoy/ http://xumingming.sinaap ...

  7. openwrt上网配置的一些理解(三)

    接着上面的继续捣腾multiwan,首先考虑一下上一篇中记录的multiwan配置,这里的配置是否正确,得研究一下.先贴一下上一篇的配置文件,如下: config 'multiwan' 'config ...

  8. Hadoop在Windows环境下的部署[转]

    http://blog.csdn.net/ruby97/article/details/7423088 经过一整天的折腾,参考了网上很多资料,我机器上的Hadoop似乎是配置成功了.下面分享一下详细的 ...

  9. 学习 Netty 3.x

    study link: http://netty.io/3.6/guide/#architecture 应用场景: Chat server that requires persistent conne ...

  10. 【录音】Android录音--AudioRecord、MediaRecorder

    Android提供了两个API用于实现录音功能:android.media.AudioRecord.android.media.MediaRecorder. 网上有很多谈论这两个类的资料.现在大致总结 ...