核心编程关于hookAPI的代码,有些地方不明白,有劳高手释疑

VC/MFC > 进程/线程/DLL
收藏 回复
[问题点数:100分,结帖人zy1691]
更多帖子
私信 空间 博客
zy1691
等级
本版专家分:95
结帖率 100%
第22章最后的那个例子,关于hookAPI的。




///////////////////////////////////////////////////////////////////////////////





// When an application runs on Windows 98 under a debugger, the debugger

// makes the module's import section point to a stub that calls the desired 

// function. To account for this, the code in this module must do some crazy 

// stuff. These variables are needed to help with the crazy stuff.





// The highest private memory address (used for Windows 98 only)

PVOID CAPIHook::sm_pvMaxAppAddr = NULL;

const BYTE cPushOpCode = 0x68;   // The PUSH opcode on x86 platforms





///////////////////////////////////////////////////////////////////////////////





// The head of the linked-list of CAPIHook objects

CAPIHook* CAPIHook::sm_pHead = NULL;





///////////////////////////////////////////////////////////////////////////////



CAPIHook::CAPIHook(PSTR pszCalleeModName, PSTR pszFuncName, PROC pfnHook, 

   BOOL fExcludeAPIHookMod) {



   if (sm_pvMaxAppAddr == NULL) {

      // Functions with address above lpMaximumApplicationAddress require

      // special processing (Windows 98 only)

      SYSTEM_INFO si;

      GetSystemInfo(&si);

      sm_pvMaxAppAddr = si.lpMaximumApplicationAddress;

   }



   m_pNext  = sm_pHead;    // The next node was at the head

   sm_pHead = this;        // This node is now at the head



   // Save information about this hooked function

   m_pszCalleeModName   = pszCalleeModName;

   m_pszFuncName        = pszFuncName;

   m_pfnHook            = pfnHook;

   m_fExcludeAPIHookMod = fExcludeAPIHookMod;

   m_pfnOrig            = GetProcAddressRaw(

      GetModuleHandleA(pszCalleeModName), m_pszFuncName);

   chASSERT(m_pfnOrig != NULL);  // Function doesn't exist



   if (m_pfnOrig > sm_pvMaxAppAddr) {

      // The address is in a shared DLL; the address needs fixing up 

      PBYTE pb = (PBYTE) m_pfnOrig;

      if (pb[0] == cPushOpCode) {

         // Skip over the PUSH op code and grab the real address

         PVOID pv = * (PVOID*) &pb[1];

         m_pfnOrig = (PROC) pv;

      }

   }



   // Hook this function in all currently loaded modules

   ReplaceIATEntryInAllMods(m_pszCalleeModName, m_pfnOrig, m_pfnHook, 

      m_fExcludeAPIHookMod);

}




就是这个CAPIHook的构造函数,ReplaceIATEntryInAllMods前面的部分不太明白什么意思,希望哪位高手来给解释一下。
只看楼主 引用 举报 楼主 收起
展开阅读全文
更多帖子
私信 空间 博客
MoXiaoRab
等级
本版专家分:60474
勋章
Blank
微软MVP 2011年10月 荣获微软MVP称号
2010年10月 荣获微软MVP称号
Blank
红花 2009年12月 VC/MFC大版内专家分月排行榜第一
2009年11月 VC/MFC大版内专家分月排行榜第一
2009年10月 VC/MFC大版内专家分月排行榜第一
2009年9月 VC/MFC大版内专家分月排行榜第一
Blank
黄花 2009年8月 VC/MFC大版内专家分月排行榜第二
Blank
蓝花 2010年1月 VC/MFC大版内专家分月排行榜第三 


   if (sm_pvMaxAppAddr == NULL) {

      // Functions with address above lpMaximumApplicationAddress require

      // special processing (Windows 98 only)

      SYSTEM_INFO si;

      GetSystemInfo(&si);

      sm_pvMaxAppAddr = si.lpMaximumApplicationAddress;

   }



   m_pNext  = sm_pHead;    // The next node was at the head

   sm_pHead = this;        // This node is now at the head



   // Save information about this hooked function

   m_pszCalleeModName   = pszCalleeModName;

   m_pszFuncName        = pszFuncName;

   m_pfnHook            = pfnHook;

   m_fExcludeAPIHookMod = fExcludeAPIHookMod;

   m_pfnOrig            = GetProcAddressRaw(

      GetModuleHandleA(pszCalleeModName), m_pszFuncName);

   chASSERT(m_pfnOrig != NULL);  // Function doesn't exist



   if (m_pfnOrig > sm_pvMaxAppAddr) {

      // The address is in a shared DLL; the address needs fixing up 

      PBYTE pb = (PBYTE) m_pfnOrig;

      if (pb[0] == cPushOpCode) {

         // Skip over the PUSH op code and grab the real address

         PVOID pv = * (PVOID*) &pb[1];

         m_pfnOrig = (PROC) pv;

      }

   }

这段吗?英文注释不是写的好好的么
只看TA 引用 举报 #1得分 0
更多帖子
私信 空间 博客
fishion
等级
本版专家分:87725
勋章
Blank
微软MVP 2013年7月 荣获微软MVP称号
2012年7月 荣获微软MVP称号
2011年7月 荣获微软MVP称号
Blank
红花 2013年9月 VC/MFC大版内专家分月排行榜第一
2013年8月 VC/MFC大版内专家分月排行榜第一
Blank
黄花 2012年2月 VC/MFC大版内专家分月排行榜第二
2011年3月 VC/MFC大版内专家分月排行榜第二
2011年2月 VC/MFC大版内专家分月排行榜第二
Blank
蓝花 2014年8月 VC/MFC大版内专家分月排行榜第三
2014年7月 VC/MFC大版内专家分月排行榜第三
只有看英文注释
只看TA 引用 举报 #2得分 0
更多帖子
私信 空间 博客
dirdirdir3
等级
本版专家分:40209
勋章
Blank
黄花 2009年10月 VC/MFC大版内专家分月排行榜第二
2009年9月 VC/MFC大版内专家分月排行榜第二
2005年8月 VC/MFC大版内专家分月排行榜第二
哪里不明白?已经注释的那么详细了..................
只看TA 引用 举报 #3得分 0
更多帖子
私信 空间 博客
feilinhe
等级
本版专家分:13883
在CAPIHook类的头文件不是已经对这些变量有说明了,英文注释得很清楚,就是保存被Hook的函数的名称地址什么的
只看TA 引用 举报 #4得分 0
更多帖子
私信 空间 博客
zy1691
等级
本版专家分:95


  if (m_pfnOrig > sm_pvMaxAppAddr) {

      // The address is in a shared DLL; the address needs fixing up 

      PBYTE pb = (PBYTE) m_pfnOrig;

      if (pb[0] == cPushOpCode) {

         // Skip over the PUSH op code and grab the real address

         PVOID pv = * (PVOID*) &pb[1];

         m_pfnOrig = (PROC) pv;

      }

   }

主要是这个不明白,可否详细解释下这个判断
cPushOpCode是什么?
只看TA 引用 举报 #5得分 0
更多帖子
私信 空间 博客
dirdirdir3
等级
本版专家分:40209
勋章
Blank
黄花 2009年10月 VC/MFC大版内专家分月排行榜第二
2009年9月 VC/MFC大版内专家分月排行榜第二
2005年8月 VC/MFC大版内专家分月排行榜第二
CPushOpCode就是push这个汇编命令的机器码............
只看TA 引用 举报 #6得分 5
更多帖子
私信 空间 博客
dirdirdir3
等级
本版专家分:40209
勋章
Blank
黄花 2009年10月 VC/MFC大版内专家分月排行榜第二
2009年9月 VC/MFC大版内专家分月排行榜第二
2005年8月 VC/MFC大版内专家分月排行榜第二
push是堆栈入栈命令,一般用于参数的传递.........
只看TA 引用 举报 #7得分 0
私信 空间 博客
stjay
等级
本版专家分:22694
引用 5 楼 zy1691 的回复:
C/C++ codeif (m_pfnOrig> sm_pvMaxAppAddr) {// The address is in a shared DLL; the address needs fixing up      PBYTE pb= (PBYTE) m_pfnOrig;if (pb[0]== cPushOpCode) {// Skip over the PUSH op code and grab the real address         PVOID pv=* (PVOID*)&pb[1];
         m_pfnOrig= (PROC) pv;
      }
   }
主要是这个不明白,可否详细解释下这个判断
cPushOpCode是什么?


看这句
// Functions with address above lpMaximumApplicationAddress require
// special processing (Windows 98 only)

上面的判断时针对Win98的特殊处理
因为win98的同一系统DLL的内存空间(也即共享内存区),对每个进程都是共用的
而win2000以上,系统DLL是映射到每个进程的内存空间,是互不影响的

看定义
const BYTE cPushOpCode = 0x68;   // The PUSH opcode on x86 platforms
汇编码形式如: PUSH 0x00654321 -> 68 21436500

对win98的底层不熟悉,具体为什么这样处理,不太清楚
只看TA 引用 举报 #8得分 10
更多帖子
私信 空间 博客
llaaddoo
等级
本版专家分:237
系统Dll都是在共享内存区域 

如果IAT指向的API不在 共享内存区域 , 那么他就有可能被调试器更改过 

调试器更改的方法类似 
Push  API      
call  debug Fun 
ret 

他先调用调试器的函数, 然后ret到原来的API函数 

所以判断第一个push 再取后面的API地址

  if (m_pfnOrig  > sm_pvMaxAppAddr) { 
      // The address is in a shared DLL; the address needs fixing up  
      //如果m_pfnOrig  > sm_pvMaxAppAddr,那就证明这是个98系统 
      //因为98下2GB的高位内存地址(大于0x80000000)是可以访问的,而2000或xp是不能的。    
      PBYTE pb = (PBYTE) m_pfnOrig; 
      if (pb[0] == cPushOpCode) { 
        // Skip over the PUSH op code and grab the real address 
    //在98下,如果是在x86平台下,得到的函数地址的首字节为0x68位标志 
    //而真正的函数基地址为pb+1  
        PVOID pv = * (PVOID*) &pb[1]; 
        m_pfnOrig = (PROC) pv; 
      }
只看TA 引用 举报 #9得分 85
收起
收藏 回复
zy1691

等级:

关注 私信 TA的帖子
Windows核心编程 - API HOOK应用

Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会受到系统的通知,这时程序就能在第一时间...

Windows核心编程_HOOK(续)_APIHOOK

就比如之前的比较火动态视频桌面代码,网络上几乎找到可行的动态视频桌面代码,最后博主花费了一晚上时间去研究,然后把研究成果从头到位到理论,到Windows桌面结构,以及体系分析,都说的非常透彻,也让不少...

Windows核心编程_Hook

一、前言Hook是Windows下的一个机制,Hook的中文意思是钩子的意思,顾名思义,钩子就是用来钩东西的,就好像钓鱼一样,你把鱼钩放入鱼塘里,钓到了某条鱼,即便我们把鱼钓上来,我们可以通过鱼钩知道鱼在做什么,...

HOOK API技术

windows核心编程_系统消息与自定义钩子hook使用 [Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术] Hook :Microsoft Detours 2.1简介 detours3.0文档 Hook简单实用 detours ...

HOOK API代码

#ifndef _HOOKAPI_H #define _HOOKAPI_H class CHOOKAPI { public: LPVOID pOldFunEntry, pNewFunEntry ; // 初始函数地址、HOOK后的函数地址 BYTE bOldBy

HOOK API入门之Hook自己程序的MessageBoxW

说到HOOK,我看了很多的资料和教程,无奈就是学不会HOOK懂是我的理解能力差,还是你们说的 不够明白,直到我看了以下这篇文章,终于学会了HOOK: http://blog.sina.com.cn/s/blog_628821950100xmuc.html //感谢...

Windows Hook核心编程(3) API Hook 初探

上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新. 这一期我们来谈谈 API HOOK  API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外 挂,internet...

Hook API (C++)

钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且 所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用...

HOOK API——Windows核心编程 第22章 插入DLL和挂接API学习笔记

介绍:HOOK API是指截获特定进程或系统对某个API函数的调用,使得API的执行流程转向指定的代码。Windows下的应用程序都建立在API函数至上,所以截获API是一项相当有用的技术,它使得用户机会干预其它应用程序的...

android API HOOK

API层面的hook是android hook技术中比较入门的一种,根据hook点选择的不同,能实现很多强大的功能,比如hook掉框架层的某些系统类达到不可思议的效果。 hook主要技术点: 1.寻找合适的hook点。 这一点其实是最...

《Windows核心编程》---HOOK API基础

HOOK API是指截获特定进程或系统对某个API函数的调用,使得API的执行流程转向指定的代码。最常用的一种挂钩API的方法是改变目标进程中调用API函数的代码,使得它们对API的调用变为对用户自定义函数的调用。 Windows...

微信pc hook的 restful api

Wechat Hook TO Restful API Github 项目地址: https://github.com/wsbblyy/wechat-pc-hook-api 这个项目的目的是要把微信pc端所有hook变成restful api 完全公开免费!!! 谢Hezone的教程 ...

API拦截--实现ring3全局hook

API拦截——实现Ring3全局HOOK 首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程...

Windows API Hook

原文对我的帮助极大,正是因为看了原文,我才学会了HOOK,鉴于原文的排版不是很好, 又没有原工程例子源码下载,因此我决定对其重新整理,文章后面附有我测试时的工程源码下载地址。 注:我测试的环境为Win7+VS2008+...

Windows Hook核心编程(3) API Hook 续 拦截API

Windows Hook核心编程(3) API Hook 续 拦截API 在开始之前,让我们先来回顾一下:什么叫Hook API? 所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控制,...

HOOK API入门篇(一)

Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能...

利用HOOKAPI拦截文件操作

先读下HookAPI 使用文档:功能简介HookAPI 是一个截获Windows 32位API函数的开发包,它可以在Windows调用某个API函数的时候,先调用自己编写的函数,从而实现特殊的功能。HookAPI同样也适用于截获用户自己编写的DLL...

windows api hook修改库代码问题

这两天在看Windows的API钩取(就是逆向工程那本书上面的),上面再说对系统造成的负担是否大的时候,说过,对所有的进程加载同一个DLL的时候,只加载到内存中一次就可以了,通过影射技术就可以实现,那么我在修改...

Windows Hook核心编程(4) API Hook 续 拦截API

 所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控 制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正...

其实用高大上的Hook技术动态注入代码很简单,一看就会!

刚好这么一种特殊的回调模式,Hook模式可以实现上述愿景。 Hook动态注入代码 Hook机制是回调机制的一种,普通的回调是静态的,我们必须提前写好回调接口;而Hook机制在Java中则可以利用反射,针对切入点(通常是一...

Hook API 原理 解析

1 什么是Hook API 简单的说,一个应用程序要调用一个API函数,例如CreateFileW,那么应用程序必须要知道函数的地址,才能调用它,我对Hook API的理解是,把这个函数...2 Hook API有什么用 在《Rootkits——Windows

Hook api! 如何拦截系统api, 让它做你想做的事!

 拦截api的技术很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分...

HOOK API DLL 注入

你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并常用的知识,这包括了操作系统原理、汇编语言甚至是关于机器指令代码 的(听上去真是有点恐怖,不过这是事实)。 当前广泛...

一步一步走进Linux HOOK API(一)

发现对于讲述Linux HOOK API的资料是很少,让我们这些新人难以去走进Linux HOOK大门.在这里我将全面的讲述Linux HOOK API的全部实现过程,这个过程中我也遇到很多坎坷,所以在这么写下这份教程.让大家都来进入HOOK...

C# 优雅的实现ApiHook

 通过继承NtAPIHook<泛型委托> 定义API ,并提供绕过Hook的源函数Origin委托 此模块支持 32位和64位   Hook处理类 using System; using System.Runtime.InteropService...

android hook api

搞了好几个星期,终于有点头绪,欢迎交流。转载请注明出处http://blog.csdn.net/lingfong_cool/article/details/8109290。  android安全可以从三个层面考虑,一次是java虚拟机层,nativec层,还有linux kernel层,...

API hook(inline)超简入门代码

简单的API hook的入门用代码参考,hook目标MessageBoxW。hook形式:inline hook

大唐杯资料+题库(移动通信)

大唐杯资料+题库(移动通信)

Java Web酒店管理系统源码 +mysql 数据库

酒店管理系统分为前台和后台两个部分,其中后台供管理员管理系统之用,包括客房类型设置模块、客房设置模块以及操作员设置三个子模块,具体的功能模块如下。 客房类型设置模块:该模块用来管理酒店的所有客房类型,包括新增客房类型、编辑已有客房类型、删除客房类型等功能。 客房设置模块:该模块用来管理酒店的所有客房信息,包括新增客房、编辑已有客房、删除客房等功能。 操作员设置模块:该模块用来管理酒店的操作员信息,包括新增操作员、编辑已有操作员信息、删除操作信息等功能。 系统前台供酒店所有工作人员使用,包括入住登记模块、结账模块、预定模块、客户管理模块以及业务统计五个模块。具体的功能模块如下。 入住登记模块:该模块用来登记客户的入住信息,其中入住信息包括登记信息、客人信息以及费用信息三部分。 结账模块:该模块用来处理客户的退房信息,只需要知道客户所住的房间号码,就能进行退房结账。 预定模块:该模块用来处理客户的预定信息,除了可以新增预定信息外,还可以对已有的预定信息进行管理。 客户管理模块:该模块用来管理客户的登记信息,包括新增客户信息、编译已有客户信息、删除客户信息等功能。 业务统计模块:该模块用来统计酒店的客房出租率,并且已图形报表的形式来显示出租率信息。 本系统的开发工具具体如下。 系统开发平台:MyEclipse 6.5。 数据库管理系统软件:MySQL 5.0。 java开发包:JDK 5.0以上。 Web服务器:Tomcat 6.0。 本系统采用MVC架构模式开发,具体技术如下。 AJAX框架:使用ExtJS技术开发 显示层:使用JSP技术开发 数据访问层:使用DAO模式开发 持久层:使用Hibernate框架开发 首页访问地址 :http://localhost:8080/JavaPrj_9/首页配置 页面 修改 打开web.xml 修改 即可 /WEB-INF/pages/userLogin.jsp 复制代码 数据库配置 为hotel-hibernate.xml 文件 测试了将近2个小时 系统跑的还不错 一下小细节 bug 大家可以自己去调整下

计算机设计大赛作品开发文档

参加的是2020年的计算机设计大赛,软件应用与开发赛道。我们的开发文档仅供参考。(20页)

相关热词 c# 字符串后六位 c#程序如何创建本地文本 c#和java比较 c# list 查找 c#打开窗体 c# 逻辑循环 c# 去数组中的数据库 c# 查找所有集成类 c#调用c++ 结构封装 c#两个类属性绑定