开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 51307|回复: 310
收起左侧

[易语言纯源码] 【原创+首发】APIHOOK之解除APIHook,怎么?让Hook数据的人都懵吧!(By超级用户)

    [复制链接]

结帖率:100% (4/4)
发表于 2018-7-26 09:27:21 | 显示全部楼层 |阅读模式   四川省宜宾市
分享源码
界面截图:
是否带模块: 纯源码
备注说明: -
本帖最后由 1185384801 于 2018-7-26 21:39 编辑

预告帖子在这里:无聊,写了个检测APIHook,还原APIHook的http://bbs.125.la/forum.php?mod=viewthread&tid=14202637
(出处: 精易论坛)
APIHook,大家都不陌生吧?
介绍在此~~:API HOOK技术是一种用于改变API执行结果的技术,最初有些人对某些api函数的功能不太满意,就产生了如何修改这些api,使之更好的服务于程序的想法,这样api hook就自然而然的出现了。我们可以通过api hook,改变一个系统api的原有功能。基本的方法就是通过hook“接触”到需要修改的api函数入口点,改变它的地址指向新的自定义的函数。
Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会受到系统的通知,这时程序就能在第一时间对该事件做出响应。
既然这是钩子,问题就来了
Hook数据的呢?(以前经常有)
想想,自己辛辛苦苦写的数据,人家OD上钩子就给修改了,你会怎么想?
所以,我便写了一个检测解除APIHook的程序
效果图:
OD.png
这是挂钩OpenProcess(OD外部)在没有任何情况之下,一运行就下断
按下.png
继续运行,按下解除钩子,显示成功
ranhou.png
然后随便怎么调用OpenProcess,OD都不会下断了
来说说原理
其实就是读取进程中API的Thunk偏移,然后装载DLL,模拟进行内存处理得到真实的,判断函数头长度是否不相同就OK
然后解除就简单了,把内存保护属性重写就OK了
  
子程序名返回值类型公开备 注
还原_Hook_普通逻辑型 还原指定函数,需要传递通过Hook检测返回的字节集。成功返回真失败返回假
参数名类 型参考可空数组备 注
目标进程句柄整数型如果是-1则对自身进程还原,否则还原外部进程。
动态链接库名文本型如 user32.dll 等,如果不是系统DLL请填写完整路径
API函数文本型函数名,如MessageBoxA等
检测结果字节集Hook检测函数检测出的结果
变量名类 型静态数组备 注
内存属性MEMORY_BASIC_INFORMATION 
修改内存保护属性 (目标进程句柄, 地址_取API地址 (动态链接库名, API函数), 内存属性)
' 无论是否成功都修改一下吧....
如果真 (WriteProcessMemory (目标进程句柄, 地址_取API地址 (动态链接库名, API函数), 检测结果, 取字节集长度 (检测结果), 0) = 0)
返回 ()
还原内存保护属性 (目标进程句柄, 内存属性)
返回 ()

就像这样一样
这个方法不仅仅可以检测自身APIHook,还可以检测远程Hook,还可以检测外部进程的Hook(需要提供外部进程句柄,可以用精易模块的“进程_打开1”)
所以这简直就是居家写程序,防OD必备!!!!注意:内核(R0)级别的Hook是不能防的啊(话说能写R0还Hook数据干嘛)
最后还是那句老话:源码回复下载!!
最后说一句:如果你觉得可以的话,请:
一下(点2下又不会扣分,而且还会加精币哦!!!加精币哦!!!),源码回复下载!!万水千山总是情,给个好评行不行?人间自有真情在,不给好评不是爱!
检测APIHook.zip (884.84 KB, 下载次数: 1166)

评分

参与人数 52好评 +36 精币 +72 收起 理由
小翁哥哥 + 1 + 2 开源精神必须支持~
憨憨问号 + 1 支持开源~!感谢分享
小白马哒哒 + 1 支持开源~!感谢分享
ingyuan + 1 YYDS~!
vqzhanshi2 + 1 新技能已get√
yudaxing + 1 新技能已get√
小白志爺 + 1 感谢分享,很给力!~
8100110 + 1 新技能已get√
gnmachang + 1 + 1 支持开源~!感谢分享
代表太阳太阳你 + 1 + 3 新技能已get√
YXR20061105 + 1 + 2 感谢分享,很给力!~
kk4648 + 1 + 2 新技能已get√
天雷 + 1 + 2 支持开源~!感谢分享
men20 + 1 感谢分享,很给力!~
阿杰687 + 1 新技能已get√
dwcq + 1 此处应该有鼓励~
活力无限 + 1 支持开源~!感谢分享
Else + 1 + 2 很赞同,谢谢!
vcatv + 1 支持开源~!感谢分享
梦幻岛主 + 1 + 2 感谢分享,很给力!~
sjzh + 1 + 2 支持开源~!感谢分享
jy896009 + 1 + 1 支持开源~!感谢分享
newok1 + 1 + 1 支持开源~!感谢分享
Troubled + 1 + 2 支持开源~!感谢分享
aimei8866999 + 1 + 2 支持开源~!感谢分享
商亨人和 + 1 + 2 支持开源~!感谢分享
我就是无赖 + 1 支持开源~!感谢分享
月恒 + 1 + 2 感谢分享,很给力!~
Hooksafe + 1 + 2 支持开源~!感谢分享
天上人间云雨 + 1 支持开源~!感谢分享
545176793 + 1 + 2 支持开源~!感谢分享
q1140820924 + 1 + 1 支持开源~!感谢分享
幻源 + 1 + 2 精华大师!!!!
h1525917469 + 1 支持开源~!感谢分享
梦寻简单 + 2 支持开源~!感谢分享
枫眼 + 1 + 1 支持开源~!感谢分享
xiaobaibk47 + 1 感谢分享,很给力!~
陈大奶么么哒 + 1 + 3 支持开源~!感谢分享
这就是用户名 + 1 + 2 新技能已get√
me50422 + 1 + 2 支持开源~!感谢分享
zitao666 + 1 感谢分享,很给力!~
jumpsec + 1 奉上小小红包希望笑纳
熊猫巴布 + 1 + 2 支持开源~!感谢分享
a135123 + 1 + 2 支持开源~!感谢分享
harding + 1 感谢分享,很给力!~
晓天信 + 1 感谢分享,很给力!~
小桥流水34 + 1 + 2 感谢分享,很给力!~
TheNumber + 1 感谢分享,很给力!~
zlw310282 + 1 + 2 感谢发布原创作品,一定好好学习,天天向上
ALittleTree + 1 支持开源~!感谢分享
巫婆 + 1 + 2 感谢发布原创作品,精易因你更精彩!
黑网达人 + 1 + 2 新技能已get√

查看全部评分


本帖被以下淘专辑推荐:

签到天数: 10 天

发表于 2024-10-13 19:56:17 | 显示全部楼层   贵州省铜仁市
支持开源~!感谢分享
回复 支持 反对

使用道具 举报

签到天数: 20 天

发表于 2024-7-20 03:37:01 | 显示全部楼层   江苏省连云港市
感谢分享,很给力!~
回复 支持 反对

使用道具 举报

签到天数: 12 天

发表于 2024-4-16 12:14:02 | 显示全部楼层   广东省东莞市
6666666666666666666666
回复 支持 反对

使用道具 举报

结帖率:64% (7/11)

签到天数: 23 天

发表于 2024-4-6 14:59:20 | 显示全部楼层   海南省临高县
        支持开源~!感谢分享
回复 支持 反对

使用道具 举报

结帖率:0% (0/1)

签到天数: 2 天

发表于 2024-1-7 18:35:48 | 显示全部楼层   广东省广州市
感谢分享!
回复 支持 反对

使用道具 举报

发表于 2023-12-6 20:08:28 | 显示全部楼层   河南省安阳市
试试看行不行
回复 支持 反对

使用道具 举报

签到天数: 19 天

发表于 2023-9-13 20:30:49 | 显示全部楼层   湖南省岳阳市
支持大佬
回复 支持 反对

使用道具 举报

签到天数: 19 天

发表于 2023-9-13 20:30:34 | 显示全部楼层   湖南省岳阳市
6666666666666666
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)

签到天数: 8 天

发表于 2023-7-13 19:18:02 | 显示全部楼层   安徽省安庆市
新技能已get!
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)

签到天数: 8 天

发表于 2023-7-13 19:17:42 | 显示全部楼层   安徽省安庆市
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表