HOOK API函数的问题

嬴政爱天下 2010-12-20 02:22:20

	void Hook ( PSTR szModuleName, PSTR szFunName, FARPROC pFun )

	{	//获取模块句柄

		HMODULE	hMod = ::GetModuleHandleA ( szModuleName ) ;

		if ( hMod != NULL )//如果获取成功则执行下面的语句

		{

			pNewFunEntry	= (LPVOID)pFun ;//返回新的函数地址

			//返回当前没有被HOOK的函数地址

			pOldFunEntry	= (LPVOID)GetProcAddress ( hMod, szFunName ) ;

			bNewByte[0]		= 0x18 ;

			*((PDWORD)(&(bNewByte[1])))	= (DWORD)pNewFunEntry - (DWORD)pOldFunEntry - 5 ; 



			DWORD   dwProtect, dwWriteByte, dwReadByte ; 

			VirtualProtect ( (LPVOID)pOldFunEntry, 5, PAGE_READWRITE, &dwProtect );

			ReadProcessMemory	( GetCurrentProcess(), (LPVOID)pOldFunEntry, bOldByte, 5, &dwReadByte ) ;		

			WriteProcessMemory	( GetCurrentProcess(), (LPVOID)pOldFunEntry, bNewByte, 5, &dwWriteByte ) ;

			VirtualProtect ( (LPVOID)pOldFunEntry, 5, dwProtect, NULL ) ;

		}

这段代码里面的*((PDWORD)(&(bNewByte[1])))= (DWORD)pNewFunEntry - (DWORD)pOldFunEntry - 5 ;

这句话是什么意思的呢?我仔细看了其他的地方大概能够懂点儿，但是这地方

用新的函数地址减去当前函数的地址在减去5这个起着什么作用的呢？

...全文

47 2 打赏收藏转发到动态举报

写回复

用AI写文章

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

嬴政爱天下 2010-12-20

打赏
举报

[Quote=引用 1 楼 healer_kx 的回复:]

(DWORD)pNewFunEntry - (DWORD)pOldFunEntry - 5 ;

估计你也看出来是计算什么偏移。。。
[/Quote]
一句惊醒梦中人啊~我在想想..

healer_kx 2010-12-20

打赏
举报

(DWORD)pNewFunEntry - (DWORD)pOldFunEntry - 5 ;

估计你也看出来是计算什么偏移。。。

ASM HOOK API函数库

hook任意函数，可用于防外挂等安全领域，是封号的代码，开源

apiHooK函数，apiHooK函数.

易语言HOOK跳转函数源码,HOOK跳转函数,MakeJmp,安装HOOK,卸载HOOK,MySleep,API_GetProcAddress,API_GetModuleHandle,API_CopyMemory,API_VirtualProtect,API_Sleep,API_MessageBox

Hook TerminateProcess函数禁止任务管理器结束进程内有详细注释解说编译运行通过！

VC/MFC

16,472

社区成员

421,732

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

VC/MFC社区版块或许是CSDN最“古老”的版块了，记忆之中，与CSDN的年龄几乎差不多。随着时间的推移，MFC技术渐渐的偏离了开发主流，若干年之后的今天，当我们面对着微软的这个经典之笔，内心充满着敬意，那些曾经的记忆，可以说代表着二十年前曾经的辉煌……
向经典致敬，或许是老一代程序员内心里面难以释怀的感受。互联网大行其道的今天，我们期待着MFC技术能够恢复其曾经的辉煌，或许这个期待会永远成为一种“梦想”，或许一切皆有可能……
我们希望这个版块可以很好的适配Web时代，期待更好的互联网技术能够使得MFC技术框架得以重现活力，……

试试用AI创作助手写篇文章吧

+ 用AI写文章