hook学习

Bong

  

窗口程序集名	保 留	保 留	备 注
程序集1

子程序名	返回值类型	公开	备 注
_启动子程序	整数型		请在本子程序中放置动态链接库初始化代码

hook ()
_临时子程序 ()  ' 在初始化代码执行完毕后调用测试代码
返回 (0)  ' 返回值被忽略。

子程序名	返回值类型	公开	备 注
_临时子程序

' 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。

子程序名	返回值类型	公开	备 注
hook

变量名	类 型	静态	数组	备 注
hProcess	整数型
pfnhook	整数型
fnhook	字节集
lw	lwcom
modProcess	MODULEENTRY32		0
i	整数型
hKernelUtil	整数型
hookaddr	整数型

hProcess ＝ -1  ' 因为是注入 所以就是自身了
EnumModule (modProcess, 0)
计次循环首 (取数组下标 (modProcess, ), i)  ' 枚举出模块 选择我们需要改写的地址
如果真 (到文本 (modProcess [i].szModule) ＝ “KernelUtil.dll”)
hKernelUtil ＝ modProcess [i].hModule
跳出循环 ()

计次循环尾 ()
hookaddr ＝ hKernelUtil ＋ HEX_to_DEC (“8336A”)
pfnhook ＝ VirtualAlloc (0, 1024, #MEM_COMMIT, HEX_to_DEC ( #PAGE_EXECUTE_READWRITE ))  ' 申请一块内存 用于写入我们自己的汇编程序
lw.Initialize ()
lw.AsmAdd (“pushad”)
' ---------------函数1
lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (pfnhook ＋ 1 － 1), DEC_to_HEX (取子程序地址 (&hook2))))  ' call我们的处理程序 call的地址 要根据申请内存和自己程序的地址 来计算偏移
lw.AsmAdd (“popad”)
lw.AsmAdd (“mov [ecx],eax”)  ' 这是我们修改的地方本身的操作，要给他保留回去 防止出错
lw.AsmAdd (“mov eax,[ebp+10]”)  ' 这是我们修改的地方本身的操作，要给他保留回去 防止出错
lw.AsmAdd (“ret”)  ' 我们只是读数据  所以要保留修改的地方的汇编代码
fnhook ＝ HEX_to_Bytes (lw.AsmCode ())
WriteProcessMemory (hProcess, pfnhook, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把我们的汇编代码写入刚刚申请的内存
lw.AsmClear ()
lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (hookaddr), DEC_to_HEX (pfnhook)))  ' 这里是我们要把hook 的地方 跳转到我们的函数 函数1 偏移自己算
fnhook ＝ HEX_to_Bytes (lw.AsmCode ())
WriteProcessMemory (hProcess, hookaddr, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把这段汇编 替换掉原来的汇编

子程序名	返回值类型	公开	备 注
hook2

变量名	类 型	静态	数组	备 注
EAX	整数型
EBX	整数型
EDX	整数型

置入代码 ({ 137, 69, 252, 137, 93, 248, 137, 85, 244 })  ' 这里就把 eax和ebx edx分别取出来了
' 我不知道为什么 如果把 打开文件写到这里的话,变量eax和变量ebx的值就变成空了。我也是新手不太理解 但是 如果是调用另一个子程序他就不会变
子程序1 (EAX, EBX, EDX)  ' 通过处理
返回 ()

子程序名	返回值类型	公开	备 注
子程序1
参数名	类 型	参考	可空	数组	备 注
eax	整数型
ebx	整数型
edx	整数型

变量名	类 型	静态	数组	备 注
a	整数型

如果真 (ebx ＝ 5 且 eax ≠ 0 且 edx ＝ HEX_to_DEC (“A0”))
a ＝ 打开文件 (“C:\Users\asd\Desktop\log.txt”, 2, )
移到文件尾 (a)
如果 (eax ＜ 0)
插入文本行 (a, “qqNUM:” ＋ 到文本 (2147483647 × 2 ＋ eax ＋ 2))
插入文本行 (a, “qqNUM:” ＋ 到文本 (eax))
关闭文件 (a)
返回 ()

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .程序集 程序集1<br /> <br /> .子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码<br /> <br /> hook ()<br /> _临时子程序 ()  ' 在初始化代码执行完毕后调用测试代码<br /> 返回 (0)  ' 返回值被忽略。<br /> <br /> .子程序 _临时子程序<br /> <br /> ' 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。<br /> <br /> .子程序 hook, , 公开<br /> .局部变量 hProcess, 整数型<br /> .局部变量 pfnhook, 整数型<br /> .局部变量 fnhook, 字节集<br /> .局部变量 lw, lwcom<br /> .局部变量 modProcess, MODULEENTRY32, , "0"<br /> .局部变量 i, 整数型<br /> .局部变量 hKernelUtil, 整数型<br /> .局部变量 hookaddr, 整数型<br /> <br /> hProcess ＝ -1  ' 因为是注入 所以就是自身了<br /> EnumModule (modProcess, 0)<br /> .计次循环首 (取数组下标 (modProcess, ), i)  ' 枚举出模块 选择我们需要改写的地址<br />     .如果真 (到文本 (modProcess <i>.szModule) ＝ “KernelUtil.dll”)<br />         hKernelUtil ＝ modProcess <i>.hModule<br />         跳出循环 ()<br />     .如果真结束<br /> <br /> .计次循环尾 ()<br /> hookaddr ＝ hKernelUtil ＋ HEX_to_DEC (“8336A”)<br /> pfnhook ＝ VirtualAlloc (0, 1024, #MEM_COMMIT, HEX_to_DEC (#PAGE_EXECUTE_READWRITE))  ' 申请一块内存 用于写入我们自己的汇编程序<br /> lw.Initialize ()<br /> lw.AsmAdd (“pushad”)<br /> ' ---------------函数1<br /> lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (pfnhook ＋ 1 － 1), DEC_to_HEX (取子程序地址 (&hook2))))  ' call我们的处理程序 call的地址 要根据申请内存和自己程序的地址 来计算偏移<br /> lw.AsmAdd (“popad”)<br /> lw.AsmAdd (“mov [ecx],eax”)  ' 这是我们修改的地方本身的操作，要给他保留回去 防止出错<br /> lw.AsmAdd (“mov eax,[ebp+10]”)  ' 这是我们修改的地方本身的操作，要给他保留回去 防止出错<br /> lw.AsmAdd (“ret”)  ' 我们只是读数据  所以要保留修改的地方的汇编代码<br /> fnhook ＝ HEX_to_Bytes (lw.AsmCode ())<br /> WriteProcessMemory (hProcess, pfnhook, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把我们的汇编代码写入刚刚申请的内存<br /> lw.AsmClear ()<br /> lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (hookaddr), DEC_to_HEX (pfnhook)))  ' 这里是我们要把hook 的地方 跳转到我们的函数 函数1 偏移自己算<br /> fnhook ＝ HEX_to_Bytes (lw.AsmCode ())<br /> WriteProcessMemory (hProcess, hookaddr, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把这段汇编 替换掉原来的汇编<br /> <br /> .子程序 hook2, , 公开<br /> .局部变量 EAX, 整数型<br /> .局部变量 EBX, 整数型<br /> .局部变量 EDX, 整数型<br /> <br /> 置入代码 ({ 137, 69, 252, 137, 93, 248, 137, 85, 244 })  ' 这里就把 eax和ebx edx分别取出来了<br /> ' 我不知道为什么 如果把 打开文件写到这里的话,变量eax和变量ebx的值就变成空了。我也是新手不太理解 但是 如果是调用另一个子程序他就不会变<br /> 子程序1 (EAX, EBX, EDX)  ' 通过处理<br /> 返回 ()<br /> <br /> .子程序 子程序1<br /> .参数 eax, 整数型<br /> .参数 ebx, 整数型<br /> .参数 edx, 整数型<br /> .局部变量 a, 整数型<br /> <br /> .如果真 (ebx ＝ 5 且 eax ≠ 0 且 edx ＝ HEX_to_DEC (“A0”))<br />     a ＝ 打开文件 (“C:\Users\asd\Desktop\log.txt”, 2, )<br />     移到文件尾 (a)<br />     .如果 (eax ＜ 0)<br />         插入文本行 (a, “qqNUM:” ＋ 到文本 (2147483647 × 2 ＋ eax ＋ 2))<br />     .否则<br />         插入文本行 (a, “qqNUM:” ＋ 到文本 (eax))<br />     .如果结束<br />     关闭文件 (a)<br /> .如果真结束<br /> 返回 ()

企鹅版本是9.7.3


我也是新手,正在学习这块方面。 不过我这个hook好像 每次收到消息 都会 显示两次发送者的id 我也不知道为啥。学习中，我想应该是经过了多次 可以自行替换模块修改，我这边就不提供我自己用的模块了。防止我的模块有毒.我弄的是注入的DLL 我自己测试没啥问题

wpzyan123

        支持开源~！感谢分享 必须支持一下

530278137

6666666666666666

hsyh

感谢分享，很给力！~

艾玛克138

加油！努力学习！

18072699966

        感谢分享，很给力！~

nameliuhaobo

OK  谢谢了

nameliuhaobo

good6666666666

moecsn

支持开源

794229345

更关心怎么定位的关键点