api hook时机问题

rageliu 2008-08-22 10:52:00
要实现在进程加载完但未开始执行时完成api hook,传统的远线程注入和SetWindowsHookEx注入钩子等方式就不适合了,大家有什么好的方式,我初步想到的几点:

1。注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows键的AppInit_DLLs,在dll的入口处hook
2。替换系统dll,如user32,在自己的user32里完成hook
3。ring0对CreateProcess这类型函数的hook处理

上面几种方式,要处理的地方很多。大家有什么方法,给我些建议,3Q
...全文
144 10 打赏 收藏 转发到动态 举报
写回复
用AI写文章
10 条回复
切换为时间正序
请发表友善的回复…
发表回复
cnzdgs 2008-08-22
  • 打赏
  • 举报
 回复
1。注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows键的AppInit_DLLs,在dll的入口处hook
这个是用户级最方便的方法了,不过有极少数特殊的程序不会加载,可以借助其它方法(例如Hook CreateProcess)让这类进程加载DLL。

2。替换系统dll,如user32,在自己的user32里完成hook
要替换系统的文件不容易,系统在运行过程中这些文件都是被使用的,无法替换,而且系统会自动检查这些文件,发现被替换了会自动还原。

3。ring0对CreateProcess这类型函数的hook处理
如果在内核级处理,Hook创建进程是不行的,而且由内核来LoadLibrary也不合理,应该直接针对你想要拦截的操作。
rageliu 2008-08-22
  • 打赏
  • 举报
 回复
windows核心编程 第22章第八节
也就是这种方式:http://bbs.pediy.com/showthread.php?t=59746
rageliu 2008-08-22
  • 打赏
  • 举报
 回复
如果3级有8错的方式可以搞定,个人偏向3级。因为稳定性还是比较重要的

如若CreateProcess挂起方式,又以什么方式注入为佳?
吹泡泡的小猫 2008-08-22
  • 打赏
  • 举报
 回复
用驱动是最好的方法,AppInit_DLLs就不要想了,反病毒软件会把你的程序当病毒杀掉的
Amuro1987218 2008-08-22
  • 打赏
  • 举报
 回复
[Quote=引用 2 楼 rageliu 的回复:]
明白楼上的意思,

http://www.osdiy.com/Blog/article.asp?id=14
[/Quote]

打的很准.

CreateProcess HOOK也不错,加载后挂起主现成住进去再急活
ycoder 2008-08-22
  • 打赏
  • 举报
 回复
mark
zhoujianhei 2008-08-22
  • 打赏
  • 举报
 回复
3。ring0对CreateProcess这类型函数的hook处理
rageliu 2008-08-22
  • 打赏
  • 举报
 回复
明白楼上的意思,

http://www.osdiy.com/Blog/article.asp?id=14
Amuro1987218 2008-08-22
  • 打赏
  • 举报
 回复
Advapi32.dll入口处挂自己的DLL
rageliu 2008-08-22
  • 打赏
  • 举报
 回复
测试通过,谢谢大家
Hook API mingw DLL WH_MOUSE
参考文章见:Hook Windows NT:http://blog.csdn.net/winsenjiansbomber/article/details/16891189 下表展示了WINUSER.H定义的一些钩子的类型: 钩子名称 作用层次 监视消息的类型和时机 WH_CALLWNDPROC 线程、系统 应用于SendMessage函数调用时。 WH_CALLWNDPROCRET 线程、系统 应用于SendMessage函数调用后。 WH_CBT 线程、系统 当基于计算机的训练(CBT)事件发生时调用钩子函数 WH_DEBUG 线程、系统 在系统调用其他钩子函数前执行的钩子,当然是除了WH
详细说说hook Api技术
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或ExtTextOut()这两个函数实现的,在操作系统用这两个函数输出文本之前,就把相应的英文替换成中文而达到即时翻译;IFS和NDIS过滤也是如此,在读写磁盘和收发数据之前,系统会调用第三方提供的回调函数来判断操作是否可以放行,它与普通HO
java hook技术_API Hook基本原理和实现 - - JavaEye技术网站
hook是什么?windows系统下的编程,消息message的传递是贯穿其始终的。这个消息我们可以简单理解为一个有特定意义的整数,正如我们看过的老故事片中的“长江长江,我是黄河”一个含义。windows中定义的消息给初学者的印象似乎是“不计其数”的,常见的一部分消息在winuser.h头文件中定义。hook与消息有着非常密切的联系,它的中文含义是“钩子”,这样理解起来我们不难得出“hook是消息...
API Hook基本原理和实现[图文]
注:本文主要为解决论坛上http://www.ccrun.com/forum/forum_posts.asp?TID=7281的提问而写的。我搜索了一下互联网,将网络上几篇有代表性的api hook文章的精华进行了浓缩和适当简化,写成这篇介绍性文章。另外也希望初学者能够认真思考本文采用的循序渐进的分析思路,如何解决了一个未知的问题。文中借鉴的文献资料列于文末附录一节。 hook是什么?
API Hook基本原理和实现
 API Hook基本原理和实现[图文] hook是什么?     windows系统下的编程,消息message的传递是贯穿其始终的。这个消息我们可以简单理解为一个有特定意义的整数,正如我们看过的老故事片中的“长江长江,我是黄河”一个含义。windows中定义的消息给初学者的印象似乎是“不计其数”的,常见的一部分消息在winuser.h头文件中定义。hook与消息有着非常密切的联系,它的
VC/MFC

16,472

社区成员

421,731

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC相关问题讨论
社区管理员
  • 基础类社区
  • Web++
  • encoderlee
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

        VC/MFC社区版块或许是CSDN最“古老”的版块了,记忆之中,与CSDN的年龄几乎差不多。随着时间的推移,MFC技术渐渐的偏离了开发主流,若干年之后的今天,当我们面对着微软的这个经典之笔,内心充满着敬意,那些曾经的记忆,可以说代表着二十年前曾经的辉煌……
        向经典致敬,或许是老一代程序员内心里面难以释怀的感受。互联网大行其道的今天,我们期待着MFC技术能够恢复其曾经的辉煌,或许这个期待会永远成为一种“梦想”,或许一切皆有可能……
        我们希望这个版块可以很好的适配Web时代,期待更好的互联网技术能够使得MFC技术框架得以重现活力,……

试试用AI创作助手写篇文章吧

+ 用AI写文章