Win10下的API HOOK不起作用的问题

lzzqqq 2015-09-04 02:36:27

以下传统的API Hook方式在Winxp - Win7都可以工作，但在Win10上面工作时会产生异常导致程序退出，有哪位知道如何在Win10下面正确地Hook API?



DWORD	g_pMsgA=0;

BYTE	g_szMsgAOld[8]={NULL};

BYTE	g_szMsgANew[8]={0XB8,0X00,0X00,0X40,0X00,0XFF,0XE0,0X00};



DWORD dwSize=0;

HMODULE hDLL=NULL;



hDLL=::LoadLibrary("User32.dll");

g_pMsgA=(DWORD)GetProcAddress(hDLL,"MessageBoxA");

ReadProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgAOld,8,&dwSize);

*(DWORD*)(g_szMsgANew+1)=(DWORD)MyMessageBoxA;

WriteProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgANew,8,&dwSize);





int MyMessageBoxA(HWND hWnd,LPCTSTR lpText,LPCTSTR lpCaption,UINT uType)

{

  int iRet=0;

  DWORD dwSize=0;

  if (CheckDlg(hWnd)) return 0;

  WriteProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgAOld,8,&dwSize);

  iRet=MessageBoxA(hWnd,lpText,lpCaption,uType);

  WriteProcessMemory(INVALID_HANDLE_VALUE,(void*)g_pMsgA,g_szMsgANew,8,&dwSize);

  return iRet;

}

...全文

4968 12 打赏收藏转发到动态举报

写回复

用AI写文章

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

许文君 2019-06-05

打赏
举报

自己写iat inline hook失效就不必要纠结了，直接detours

encoderlee 2019-06-05

打赏
举报

可以试试使用现成的库，我在win10下使用是正常的

https://github.com/martona/mhook

mhook也是使用inline hook，而且它对多线程并发调用的情况作了处理，是线程安全的

flyfish6344 2019-06-04

打赏
举报

不止你遇到的这事儿，有不少过去XP或WIN7上可靠实用的API现在WIN10上都无法使用或结果难以确定。估计微软的WIN10有了新的运行代码，例如以前WIN7上能启动和关闭的服务现在手动也不能操作了。微软把你的电脑完全当成了他的电脑。

zzg00000 2017-04-25

打赏
举报

可能由于LoadLibrary的原因，win10下面kernel32里面已经不叫这个名字了，这个名字的函数在KERNELBASE.dll还没有变。你导出用这个试试

「已注销」 2015-09-06

打赏
举报

这是以前网上找到的代码，进行了简单修改，一直都能用，在 Windows 10 上也没有问题。例子为 Hook MessageBoxA 函数：

#include <windows.h>
#pragma comment(lib, "user32.lib")

#ifndef _X86_JMP_SIZE
#define _X86_JMP_SIZE 6
#endif

void *g_pfnToHook = NULL;
void *g_pfnHooked = NULL;

BYTE g_oldBytes[_X86_JMP_SIZE] = { 0 };
BYTE g_jmpBytes[_X86_JMP_SIZE] = { 0 };

DWORD g_dwProtect = 0;
DWORD g_dwResult = 0;

int WINAPI HookedMessageBoxA(
    HWND hWnd,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType
)
{
    int iRet = -1;
    if (VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, PAGE_EXECUTE_READWRITE, &g_dwResult)) {
        memcpy(g_pfnToHook, (void *)g_oldBytes, _X86_JMP_SIZE);
        iRet = MessageBoxA(hWnd, "The message from hooked MessageBox!", lpCaption, uType);
        memcpy(g_pfnToHook, (void *)g_jmpBytes, _X86_JMP_SIZE);
        VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, g_dwProtect, &g_dwResult);
    }
    return iRet;
}

BOOL InitializeMessageBoxHook(void)
{
    BYTE jmpBytes[_X86_JMP_SIZE] = { 0xE9, 0x90, 0x90, 0x90, 0x90, 0xC3 };
    memcpy((void *)g_jmpBytes, (void *)jmpBytes, sizeof(jmpBytes));
    DWORD jmpSize = (DWORD)((DWORD_PTR)g_pfnHooked - (DWORD_PTR)g_pfnToHook - 5);
    BOOL fResult = VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, PAGE_EXECUTE_READWRITE, &g_dwProtect);
    if (fResult) {
        memcpy((void *)g_oldBytes, g_pfnToHook, _X86_JMP_SIZE);
        memcpy((void *)&g_jmpBytes[1], (void *)&jmpSize, sizeof(jmpSize));
        memcpy(g_pfnToHook, (void *)g_jmpBytes, _X86_JMP_SIZE);
        fResult = VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, g_dwProtect, &g_dwResult);
    }
    return fResult;
}

BOOL FinalizeMessageBoxHook(void)
{
    BOOL fResult = VirtualProtect(g_pfnToHook, _X86_JMP_SIZE, PAGE_EXECUTE_READWRITE, &g_dwResult);
    if (fResult) {
        memcpy(g_pfnToHook, g_oldBytes, _X86_JMP_SIZE);
    }
    return fResult;
}

int main(int argc, char *argv[])
{
    g_pfnToHook = (void *)MessageBoxA;
    g_pfnHooked = (void *)HookedMessageBoxA;

    MessageBoxA(NULL, "Before Hook!", "before", MB_OK);

    if (InitializeMessageBoxHook()) {
        MessageBoxA(NULL, "Hello world!", "info", MB_OK);
        FinalizeMessageBoxHook();
    }
    MessageBoxA(NULL, "After Hook!", "after", MB_OK);

    return 0;
}

赵4老师 2015-09-06

打赏
举报

WinAPIOverridehttp://jacquelin.potier.free.fr/winapioverride32/

LostSpeed 2015-09-06

打赏
举报

http://codefromthe70s.org/ 2014-Mar-5: Mhook v2.4, an API hooking library 熊孩子防火墙：基于AppInit_DLLs的进程过滤器 http://nicoconi.com/2015-08/appinit_dlls-minifilterz.html 最后，该dll由VS2013编译，用到了开源的mhook库，在64位win7、win8、win10上测试通过，xp兼容性未知，xp请谨慎使用 LZ, 有没有试过mHook v2.4, 初看查看的资料，从<<熊孩子防火墙>>的介绍看，好像是支持win10的，你可以试试. mHook是开源的, 如果能用于Win10, 你可以找下区别.

dustpg 2015-09-06

打赏
举报

g_pMsgA=(DWORD)GetProcAddress(hDLL,"MessageBoxA");

目测弄成64位程序了, 然后就崩了

www_adintr_com 2015-09-05

打赏
举报

用 VirtualProtect 修改过代码位置的内存属性，把它改成可写的了吗？

Eleven 2015-09-05

打赏
举报

函数调用都成功了？？

oyljerry 2015-09-05

打赏
举报

还可能win8上就不能用了。os有变化。

zwfgdlc 2015-09-04

打赏
举报

64还是32位的系统? 还有被HOOK的里程是32位还是64位的

如题所言，在XP和Win7均可以运行，非常稳定，可以拦截到指定API,但我看不懂代码，不知道如何获取拦截到的参数，有高人看到指点下。

本套课程通过实践，讲解了 React hook 技术。本课程的价值比例是：视频课程是 10% + 作业与辅导 90%。也就是说，你光看视频课程，就亏了，你要做作业，老师根据作业对你进行辅导！实践，实践，再实践！这套课程中，我充当教练的角色，讲师或老师，给人的感觉只是讲，而教练，不只是教，还要带你练，所以最重要的，并不只是传授知识，而是带你实践，去真正的运用知识。课程建立了讨论的主题，课程或者说是知识，并不是最重要的，因为知识是可以学到的，但经验只能被传授。知识，在网络上，在书籍中和视频课程中，都可轻松获取，但他是死的；而经验需要通过做作业，你不只提高开发经验，而且老师会根据你的作业，因材施教，传授你真正的经验，也会通过你的代码，发现你的问题，有针对性的指出你的问题，这种提高是飞速的、根本性的！

api hook还是挺常用的，成熟的方案有微软自己的, 支持32位Detours。还有支持32位、64位的开源库MHook。按照MHook的api，自己仿造了一个简化的，用作学习。只支持32位的，要改成64位的话，要对shellcode进行改写。思路：改写函数前面的机器码，跳转到自己的函数。要调用原函数时，先写回原来函数的机器码，再调用原函数，调用

本博文由CSDN博主zuishikonghuan所作，版权归zuishikonghuan所有，转载请注明出处： API Hook技术，虽然很老了，但是依旧是很有用的技术，同时网上的资料往往不能直接拿过来用，c语言的太少。这回呢，我要用C语言来完整的编写一个Win32SDK编程的API Hook源码，但是我还是用cpp保存编译，为哈？因为微软对c语言标准支持的很不好，我不知道vs2013支持c

ATL

3,245

社区成员

48,539

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章