请教关于APIHOOK的初级问题(新手)

quaddamage 2003-02-21 12:04:27
请各位帮帮忙:
我从别的地方copy了一段代码想实现简单的APIHOOK,就是在运行notepad.exe时hook MessageBoxW这个API,使它指向ExitProcess,但是这个程序在运行时总是报Access voilation。在单步跟踪时停在了ImageDirectoryEntryToData()
程序代码很短,就包括一个main()和ReplaceIATEntryInOneMod()两个函数,如下:

#include "windows.h"
#include <ImageHlp.h>
#pragma comment(lib, "ImageHlp")

const BYTE cPushOpCode = 0x68;

void ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,
PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller) {

// Get the address of the module's import section
ULONG ulSize;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)
ImageDirectoryEntryToData(hmodCaller, TRUE,
IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);

if (pImportDesc == NULL)
return; // This module has no import section


// Find the import descriptor containing references to callee's functions
for (; pImportDesc->Name; pImportDesc++) {
PSTR pszModName = (PSTR) ((PBYTE) hmodCaller + pImportDesc->Name);
if (lstrcmpiA(pszModName, pszCalleeModName) == 0)
break; // Found
}

if (pImportDesc->Name == 0)
return; // This module doesn't import any functions from this callee

// Get caller's import address table (IAT) for the callee's functions
PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)
((PBYTE) hmodCaller + pImportDesc->FirstThunk);

// Replace current function address with new function address
for (; pThunk->u1.Function; pThunk++) {

// Get the address of the function address
PROC* ppfn = (PROC*) &pThunk->u1.Function;

// Is this the function we're looking for?
BOOL fFound = (*ppfn == pfnCurrent);

if (fFound) {
// The addresses match, change the import section address
WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
sizeof(pfnNew), NULL);
return; // We did it, get out
}
}

// If we get to here, the function is not in the caller's import section
}

void main(){
PROC pfnOrig=GetProcAddress(GetModuleHandle("Kernel32"),"MessageBoxW");
HMODULE hmodCaller=GetModuleHandle("notepad.exe");
PROC MyMessageBoxW=GetProcAddress(GetModuleHandle("Kernel32"),"ExitProcess");
ReplaceIATEntryInOneMod(
"Kernel32,dll",
pfnOrig,
MyMessageBoxW,
hmodCaller);

}

还有一个问题就是字调用WriteProcessMemory时,我怎么知道当前的进程是不是notepad.exe?

...全文
60 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
demetry 2003-02-21
  • 打赏
  • 举报
 回复
第二个问题:

你要先枚举进程的ID,因为ID是唯一的,而进程句柄则不一定。然后根据ID判断当前进程是不是notepad.exe
CSDN回帖得分大全(近两年)
√vs2005调用dll的时候Initialize()函数返回错误 [VC/MFC 基础类] 40 ylongwu 05-21 20:486 ylongwu06-28 13:42管理√为什么我创建登陆框之后,然后获取登陆框的数据时候总是出现非法操作! [VC/MFC 界面] 40 chencheng8095 05-23 00:2911 xianglitian06-10 11:51管理√CFileFind::FindFile   支持通配符么? [VC/MFC 基础类] 100 wysbk002 05-22
CSDN回帖得分大全 近两年
CSDN回帖得分大全 近两年
《提示工程架构师:探寻管理提示内容更新的最优解》
提示工程(Prompt Engineering)早已不是“写好提示词”那么简单。在企业级AI应用中,提示是连接业务需求、用户意图与模型能力的“翻译器”,其质量直接决定AI系统的效果。复杂性:从单一场景的静态提示,发展为包含条件逻辑、变量注入、多模块拼接的动态脚本(如“根据用户会员等级加载不同优惠话术模板”);规模性:大型企业可能拥有数千甚至数万条提示(覆盖客服、营销、风控、研发等场景),需支持多团队协作维护;动态性。
多功能仿真软件Multisim中MC1496信号乘法混合电路仿真资源
本资源包含了一个使用Multisim仿真软件实现的MC1496信号乘法混合电路的工程文件。此电路是根据网络上的电路图自主绘制的,旨在帮助电子爱好者、工程师及学生更好地理解和学习信号乘法混合电路的原理及其在实际应用中的表现。 文件描述 文件名:multisim仿真MC1496实现的信号乘法混合.rar 内容:Multisim仿真工程文件,包含电路图和相关仿真设置。 注意事项 本资源为仿真文件,运行前请确保已安装Multisim仿真软件。 电路图仅供参考,如有任何疑问或需要帮助,请根据个人学习途径寻求解答。 本资源中所包含的电路图是根据网上资料自主绘制,如有不准确之处,请以实际应用为准。 使用说明 解压下载的文件至指定文件夹。 打开Multisim软件,选择“打开工程”功能,找到并打开解压后的工程文件。 根据个人需求进行仿真实验或修改电路参数。
基于PyQt5的Python图书管理系统开发实践
采用PyQt5框架与Python编程语言构建图书信息管理平台 本项目基于Python编程环境,结合PyQt5图形界面开发库,设计实现了一套完整的图书信息管理解决方案。该系统主要面向图书馆、书店等机构的日常运营需求,通过模块化设计实现了图书信息的标准化管理流程。 系统架构采用典型的三层设计模式,包含数据存储层、业务逻辑层和用户界面层。数据持久化方案支持SQLite轻量级数据库与MySQL企业级数据库的双重配置选项,通过统一的数据库操作接口实现数据存取隔离。在数据建模方面,设计了包含图书基本信息、读者档案、借阅记录等核心数据实体,各实体间通过主外键约束建立关联关系。 核心功能模块包含六大子系统: 1. 图书编目管理:支持国际标准书号、中国图书馆分类法等专业元数据的规范化著录,提供批量导入与单条录入两种数据采集方式 2. 库存动态监控:实时追踪在架数量、借出状态、预约队列等流通指标,设置库存预警阈值自动提醒补货 3. 读者服务管理:建立完整的读者信用评价体系,记录借阅历史与违规行为,实施差异化借阅权限管理 4. 流通业务处理:涵盖借书登记、归还处理、续借申请、逾期计算等标准业务流程,支持射频识别技术设备集成 5. 统计报表生成:按日/月/年周期自动生成流通统计、热门图书排行、读者活跃度等多维度分析图表 6. 系统维护配置:提供用户权限分级管理、数据备份恢复、操作日志审计等管理功能 在技术实现层面,界面设计遵循Material Design设计规范,采用QSS样式表实现视觉定制化。通过信号槽机制实现前后端数据双向绑定,运用多线程处理技术保障界面响应流畅度。数据验证机制包含前端格式校验与后端业务规则双重保障,关键操作均设有二次确认流程。 该系统适用于中小型图书管理场景,通过可扩展的插件架构支持功能模块的灵活组合。开发过程中特别注重代码的可维护性,采用面向对象编程范式实现高内聚低耦合的组件设计,为后续功能迭代奠定技术基础。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
进程/线程/DLL

15,467

社区成员

49,171

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC 进程/线程/DLL
社区管理员
  • 进程/线程/DLL社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章