Win10下的API HOOK不起作用的问题

lzzqqq 2015-09-04 02:36:27

以下传统的API Hook方式在Winxp - Win7都可以工作，但在Win10上面工作时会产生异常导致程序退出，有哪位知道如何在Win10下面正确地Hook API?



DWORD	g_pMsgA=0;

BYTE	g_szMsgAOld[8]={NULL};

BYTE	g_szMsgANew[8]={0XB8,0X00,0X00,0X40,0X00,0XFF,0XE0,0X00};



DWORD dwSize=0;

HMODULE hDLL=NULL;



hDLL=::LoadLibrary("User32.dll");

g_pMsgA=(DWORD)GetProcAddress(hDLL,"MessageBoxA");

ReadProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgAOld,8,&dwSize);

*(DWORD*)(g_szMsgANew+1)=(DWORD)MyMessageBoxA;

WriteProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgANew,8,&dwSize);





int MyMessageBoxA(HWND hWnd,LPCTSTR lpText,LPCTSTR lpCaption,UINT uType)

{

  int iRet=0;

  DWORD dwSize=0;

  if (CheckDlg(hWnd)) return 0;

  WriteProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgAOld,8,&dwSize);

  iRet=MessageBoxA(hWnd,lpText,lpCaption,uType);

  WriteProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgANew,8,&dwSize);

  return iRet;

}

...全文

5372 12 打赏收藏转发到动态举报

写回复

用AI写文章

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

许文君 2019-06-05

打赏
举报

自己写iat inline hook失效就不必要纠结了，直接detours

encoderlee 2019-06-05

打赏
举报

可以试试使用现成的库，我在win10下使用是正常的

https://github.com/martona/mhook

mhook也是使用inline hook，而且它对多线程并发调用的情况作了处理，是线程安全的

flyfish6344 2019-06-04

打赏
举报

不止你遇到的这事儿，有不少过去XP或WIN7上可靠实用的API现在WIN10上都无法使用或结果难以确定。估计微软的WIN10有了新的运行代码，例如以前WIN7上能启动和关闭的服务现在手动也不能操作了。微软把你的电脑完全当成了他的电脑。

zzg00000 2017-04-25

打赏
举报

可能由于LoadLibrary的原因，win10下面kernel32里面已经不叫这个名字了，这个名字的函数在KERNELBASE.dll还没有变。你导出用这个试试

「已注销」 2015-09-06

打赏
举报

这是以前网上找到的代码，进行了简单修改，一直都能用，在 Windows 10 上也没有问题。例子为 Hook MessageBoxA 函数：

#include <windows.h>
#pragma comment(lib, "user32.lib")

#ifndef _X86_JMP_SIZE
#define _X86_JMP_SIZE 6
#endif

void *g_pfnToHook = NULL;
void *g_pfnHooked = NULL;

BYTE g_oldBytes[_X86_JMP_SIZE] = { 0 };
BYTE g_jmpBytes[_X86_JMP_SIZE] = { 0 };

DWORD g_dwProtect = 0;
DWORD g_dwResult = 0;

int WINAPI HookedMessageBoxA(
    HWND hWnd,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType
)
{
    int iRet = -1;
    if (VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, PAGE_EXECUTE_READWRITE, &g_dwResult)) {
        memcpy(g_pfnToHook, (void *)g_oldBytes, _X86_JMP_SIZE);
        iRet = MessageBoxA(hWnd, "The message from hooked MessageBox!", lpCaption, uType);
        memcpy(g_pfnToHook, (void *)g_jmpBytes, _X86_JMP_SIZE);
        VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, g_dwProtect, &g_dwResult);
    }
    return iRet;
}

BOOL InitializeMessageBoxHook(void)
{
    BYTE jmpBytes[_X86_JMP_SIZE] = { 0xE9, 0x90, 0x90, 0x90, 0x90, 0xC3 };
    memcpy((void *)g_jmpBytes, (void *)jmpBytes, sizeof(jmpBytes));
    DWORD jmpSize = (DWORD)((DWORD_PTR)g_pfnHooked - (DWORD_PTR)g_pfnToHook - 5);
    BOOL fResult = VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, PAGE_EXECUTE_READWRITE, &g_dwProtect);
    if (fResult) {
        memcpy((void *)g_oldBytes, g_pfnToHook, _X86_JMP_SIZE);
        memcpy((void *)&g_jmpBytes[1], (void *)&jmpSize, sizeof(jmpSize));
        memcpy(g_pfnToHook, (void *)g_jmpBytes, _X86_JMP_SIZE);
        fResult = VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, g_dwProtect, &g_dwResult);
    }
    return fResult;
}

BOOL FinalizeMessageBoxHook(void)
{
    BOOL fResult = VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, PAGE_EXECUTE_READWRITE, &g_dwResult);
    if (fResult) {
        memcpy(g_pfnToHook, g_oldBytes, _X86_JMP_SIZE);
    }
    return fResult;
}

int main(int argc, char *argv[])
{
    g_pfnToHook = (void *)MessageBoxA;
    g_pfnHooked = (void *)HookedMessageBoxA;

    MessageBoxA(NULL, "Before Hook!", "before", MB_OK);

    if (InitializeMessageBoxHook()) {
        MessageBoxA(NULL, "Hello world!", "info", MB_OK);
        FinalizeMessageBoxHook();
    }
    MessageBoxA(NULL, "After Hook!", "after", MB_OK);

    return 0;
}

赵4老师 2015-09-06

打赏
举报

WinAPIOverridehttp://jacquelin.potier.free.fr/winapioverride32/

LostSpeed 2015-09-06

打赏
举报

http://codefromthe70s.org/ 2014-Mar-5: Mhook v2.4, an API hooking library 熊孩子防火墙：基于AppInit_DLLs的进程过滤器 http://nicoconi.com/2015-08/appinit_dlls-minifilterz.html 最后，该dll由VS2013编译，用到了开源的mhook库，在64位win7、win8、win10上测试通过，xp兼容性未知，xp请谨慎使用 LZ, 有没有试过mHook v2.4, 初看查看的资料，从<<熊孩子防火墙>>的介绍看，好像是支持win10的，你可以试试. mHook是开源的, 如果能用于Win10, 你可以找下区别.

dustpg 2015-09-06

打赏
举报

g_pMsgA=(DWORD)GetProcAddress(hDLL,"MessageBoxA");

目测弄成64位程序了, 然后就崩了

www_adintr_com 2015-09-05

打赏
举报

用 VirtualProtect 修改过代码位置的内存属性，把它改成可写的了吗？

Eleven 2015-09-05

打赏
举报

函数调用都成功了？？

oyljerry 2015-09-05

打赏
举报

还可能win8上就不能用了。os有变化。

zwfgdlc 2015-09-04

打赏
举报

64还是32位的系统? 还有被HOOK的里程是32位还是64位的

本文介绍了API Hook的陷阱式方法，探讨了其在9X系统下的局限性和在Win2000/XP/Vista等系统的优势。通过创建Tjump结构，利用WriteProcessMemory修改API入口实现Hook。此外，文章还提出了解决HookAPI重入问题的思路，通过createfilemapping和CopyMemory处理，但只拷贝所需API代码的问题尚未解决。提供了部分Delphi实现的代码示例。

本文探讨了ScyllaHide在Windows 7 x64环境下针对32位进程的Hook技术，特别是inline hook的使用。通过工具观察，分析了ScyllaHide对目标程序的hook类型，并详细讲解了OutputDebugStringA和NtClose函数的hook流程，涉及SSDT、ntdll调用机制以及不同hook类型的实现。

本文介绍了API Hook的基本原理和一个简单的实现案例，特别是在64位Windows系统上的应用。首先，文章阐述了如何找到并hook API函数，接着展示了如何使用inline hook来替换API函数的原始代码，实现功能的篡改。文中还提到，虽然Detour库提供更稳定的API Hook方案，但本文选择直接进行inline hook以展示核心原理。最后，作者分享了生成DLL并利用DLL注入技术实现在目标进程中进行API Hook的方法，强调在64位环境下需要注意的部分。

本文作为上一篇《[Win32] API Hook（1）在32位系统上的实现》的延续，详细介绍了如何在64位Windows系统中实现API Hook。关键在于利用AMD64汇编中的ret指令，巧妙地实现了函数调用的转向，同时保留了原有的参数和返回地址，从而在不破坏原有调用栈的情况下完成hook。在Win8.1 64位环境下，该方法已成功实现并达到预期效果。

本文介绍了在Win64系统中如何进行SSDT(Hook System Service Dispatch Table)的HOOK和UNHOOK操作。内容涉及到获取ServiceTableBase地址、函数序号、转换代理函数地址为偏移地址等技术细节。尽管原理与Win32类似，但实现过程中遇到了由于地址范围限制导致的问题。作者通过巧妙地利用KeBugCheckEx函数，实现了跨越4GB的跳转，从而成功HOOK SSDT。

ATL

3,248

社区成员

48,530

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章