ApiHook,改进建议。

黑猫よ__

模块的APIHOOK方法,过于复杂不易管理,且效率偏低还存在安全问题(程序执行环境),对此稍做改进,希望采纳。


改进的HOOK,支持任意API,或者其它模块的导出函数的拦截,不需要担心寄存器的保存以及堆栈问题,并且可以直接调用被HOOK的函数(通过声明一个新的
子程序交由HOOK函数进行编码,这使得你可以在拦截函数中直接调用原函数而不需要将你的HOOK钩子取消)

Hook效果：

  

子程序名	返回值类型	公开	备 注
_启动子程序	整数型		请在本子程序中放置易模块初始化代码

SetApiHook (“user32.dll”, “MessageBoxA”, &NewMessageBoxA, &JmpMessageBoxA, , 真)
标准输入 ()
信息框 (“测试函数”, 0, , )
标准输入 ()
_临时子程序 ()  ' 在初始化代码执行完毕后调用测试代码
返回 (0)  ' 可以根据您的需要返回任意数值

子程序名	返回值类型	公开	备 注
NewMessageBoxA	整数型
参数名	类 型	参考	可空	数组	备 注
hWnd	整数型
lpText	整数型
lpCaption	整数型
uType	整数型

' 在回调函数中,完全不用担心寄存器环境,以及堆栈平衡问题,就像在调用你自己的子程序一样
调试输出 (“消息框文本”, 指针到文本 (lpText))
返回 (JmpMessageBoxA (hWnd, lpText, lpCaption, uType))

子程序名	返回值类型	公开	备 注
JmpMessageBoxA	整数型
参数名	类 型	参考	可空	数组	备 注
hWnd	整数型
lpText	整数型
lpCaption	整数型
uType	整数型

返回 (0)

子程序名	返回值类型	公开	备 注
_临时子程序

' 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。

子程序名	返回值类型	公开	备 注
SetApiHook	逻辑型
参数名	类 型	参考	可空	数组	备 注
szModule	文本型
szApiName	文本型
lpfnHookAddress	子程序指针				用于接管目标函数的子程序
lpfnNewApiAddress	子程序指针				用于调用原目标的子程序
dwSize	整数型				安装长度
bSwArginfo	逻辑型				是否有参数

变量名	类 型	静态	数组	备 注
theApiAddress	整数型
theSubPtr	整数型
theJumpPtr	整数型
theRetVal	整数型
theSaveSize	整数型
theDevAddress	整数型
theOldProtect	整数型
theOldProtect2	整数型

theApiAddress ＝ GetProcAddress (LoadLibraryA (szModule), szApiName)
theSubPtr ＝ 到整数 (lpfnHookAddress)
theJumpPtr ＝ ToCallback (lpfnNewApiAddress, bSwArginfo) ＋ 3
theSaveSize ＝ 选择 (dwSize ＝ 0, 5, dwSize)
如果真 (theApiAddress ≠ 0)
theDevAddress ＝ theApiAddress － theSubPtr
theDevAddress ＝ 位取反 (theDevAddress)
theDevAddress ＝ theDevAddress － 4
如果真 (VirtualProtect (theApiAddress, theSaveSize, #PAGE_EXECUTE_READWRITE, theOldProtect) 且 VirtualProtect (theJumpPtr, theSaveSize, #PAGE_EXECUTE_READWRITE, theOldProtect2))
如果真 (theSaveSize ＞ 5)
memcpy (theJumpPtr, theApiAddress, theSaveSize)
memset (theApiAddress ＋ 5, 144, theSaveSize － 5)  ' 填充nop
theSaveSize ＝ theSaveSize － 5
Xcode (theApiAddress, 0, 233, #XCODE_WRITE_BYTE )
Xcode (theApiAddress, 1, theDevAddress, #XCODE_WRITE_DWORD )
theDevAddress ＝ theJumpPtr ＋ theSaveSize ��� (theApiAddress ＋ 5)
theDevAddress ＝ 位取反 (theDevAddress)
theDevAddress ＝ theDevAddress － 4
Xcode (theJumpPtr, theSaveSize, 233, #XCODE_WRITE_BYTE )
Xcode (theJumpPtr, theSaveSize ＋ 1, theDevAddress, #XCODE_WRITE_DWORD )
VirtualProtect (theApiAddress, theSaveSize, theOldProtect, 0)
VirtualProtect (theJumpPtr, theSaveSize, theOldProtect2, 0)
返回 (真)

返回 (假)

子程序名	返回值类型	公开	备 注
ToCallback	整数型
参数名	类 型	参考	可空	数组	备 注
子程序	子程序指针
是否有参数	逻辑型

置入代码 ({ 62, 128, 125, 12, 1, 116, 17, 139, 69, 8, 131, 192, 4, 139, 200, 139, 0, 3, 193, 131, 192, 4, 235, 15, 139, 69, 8, 131, 192, 21, 139, 200, 139, 0, 3, 193, 131, 192, 4, 139, 229, 93, 194, 8, 0 })
返回 (0)

子程序名	返回值类型	公开	备 注
Xcode	整数型		内存指针读写操作
参数名	类 型	参考	可空	数组	备 注
ptr	整数型
dev	整数型
val	整数型
flags	整数型

置入代码 ({ 139, 69, 20, 133, 192, 117, 13, 139, 77, 12, 139, 69, 8, 139, 4, 8, 93, 194, 16, 0, 131, 248, 1, 117, 14, 139, 77, 12, 139, 69, 8, 15, 183, 4, 8, 93, 194, 16, 0, 131, 248, 2, 117, 14, 139, 77, 12, 139, 69, 8, 15, 182, 4, 8, 93, 194, 16, 0, 131, 248, 4, 117, 18, 139, 69, 8, 139, 77, 12, 139, 85, 16, 137, 20, 8, 51, 192, 93, 194, 16, 0, 131, 248, 8, 117, 20, 139, 69, 8, 139, 77, 12, 102, 139, 85, 16, 102, 137, 20, 8, 51, 192, 93, 194, 16, 0, 131, 248, 16, 117, 19, 139, 69, 8, 139, 77, 12, 102, 139, 85, 16, 136, 20, 8, 51, 192, 93, 194, 16, 0 })
返回 (0)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 _启动子程序, 整数型, , 请在本子程序中放置易模块初始化代码<br /> <br /> SetApiHook (“user32.dll”, “MessageBoxA”, &NewMessageBoxA, &JmpMessageBoxA, , 真)<br /> 标准输入 ()<br /> 信息框 (“测试函数”, 0, , )<br /> 标准输入 ()<br /> _临时子程序 ()  ' 在初始化代码执行完毕后调用测试代码<br /> 返回 (0)  ' 可以根据您的需要返回任意数值<br /> <br /> .子程序 NewMessageBoxA, 整数型<br /> .参数 hWnd, 整数型<br /> .参数 lpText, 整数型<br /> .参数 lpCaption, 整数型<br /> .参数 uType, 整数型<br /> <br /> ' 在回调函数中,完全不用担心寄存器环境,以及堆栈平衡问题,就像在调用你自己的子程序一样<br /> 调试输出 (“消息框文本”, 指针到文本 (lpText))<br /> <br /> 返回 (JmpMessageBoxA (hWnd, lpText, lpCaption, uType))<br /> <br /> .子程序 JmpMessageBoxA, 整数型<br /> .参数 hWnd, 整数型<br /> .参数 lpText, 整数型<br /> .参数 lpCaption, 整数型<br /> .参数 uType, 整数型<br /> <br /> 返回 (0)<br /> <br /> .子程序 _临时子程序<br /> <br /> ' 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。<br /> <br /> <br /> .子程序 SetApiHook, 逻辑型, 公开<br /> .参数 szModule, 文本型<br /> .参数 szApiName, 文本型<br /> .参数 lpfnHookAddress, 子程序指针, , 用于接管目标函数的子程序<br /> .参数 lpfnNewApiAddress, 子程序指针, , 用于调用原目标的子程序<br /> .参数 dwSize, 整数型, 可空, 安装长度<br /> .参数 bSwArginfo, 逻辑型, , 是否有参数<br /> .局部变量 theApiAddress, 整数型<br /> .局部变量 theSubPtr, 整数型<br /> .局部变量 theJumpPtr, 整数型<br /> .局部变量 theRetVal, 整数型<br /> .局部变量 theSaveSize, 整数型<br /> .局部变量 theDevAddress, 整数型<br /> .局部变量 theOldProtect, 整数型<br /> .局部变量 theOldProtect2, 整数型<br /> <br /> theApiAddress ＝ GetProcAddress (LoadLibraryA (szModule), szApiName)<br /> theSubPtr ＝ 到整数 (lpfnHookAddress)<br /> theJumpPtr ＝ ToCallback (lpfnNewApiAddress, bSwArginfo) ＋ 3<br /> theSaveSize ＝ 选择 (dwSize ＝ 0, 5, dwSize)<br /> .如果真 (theApiAddress ≠ 0)<br />     theDevAddress ＝ theApiAddress － theSubPtr<br />     theDevAddress ＝ 位取反 (theDevAddress)<br />     theDevAddress ＝ theDevAddress － 4<br />     .如果真 (VirtualProtect (theApiAddress, theSaveSize, #PAGE_EXECUTE_READWRITE, theOldProtect) 且 VirtualProtect (theJumpPtr, theSaveSize, #PAGE_EXECUTE_READWRITE, theOldProtect2))<br />         .如果真 (theSaveSize ＞ 5)<br />             memcpy (theJumpPtr, theApiAddress, theSaveSize)<br />             memset (theApiAddress ＋ 5, 144, theSaveSize － 5)  ' 填充nop<br />         .如果真结束<br />         theSaveSize ＝ theSaveSize － 5<br />         Xcode (theApiAddress, 0, 233, #XCODE_WRITE_BYTE)<br />         Xcode (theApiAddress, 1, theDevAddress, #XCODE_WRITE_DWORD)<br />         theDevAddress ＝ theJumpPtr ＋ theSaveSize － (theApiAddress ＋ 5)<br />         theDevAddress ＝ 位取反 (theDevAddress)<br />         theDevAddress ＝ theDevAddress － 4<br />         Xcode (theJumpPtr, theSaveSize, 233, #XCODE_WRITE_BYTE)<br />         Xcode (theJumpPtr, theSaveSize ＋ 1, theDevAddress, #XCODE_WRITE_DWORD)<br />         VirtualProtect (theApiAddress, theSaveSize, theOldProtect, 0)<br />         VirtualProtect (theJumpPtr, theSaveSize, theOldProtect2, 0)<br />         返回 (真)<br />     .如果真结束<br /> <br /> .如果真结束<br /> 返回 (假)<br /> <br /> .子程序 ToCallback, 整数型<br /> .参数 子程序, 子程序指针<br /> .参数 是否有参数, 逻辑型<br /> <br /> 置入代码 ({ 62, 128, 125, 12, 1, 116, 17, 139, 69, 8, 131, 192, 4, 139, 200, 139, 0, 3, 193, 131, 192, 4, 235, 15, 139, 69, 8, 131, 192, 21, 139, 200, 139, 0, 3, 193, 131, 192, 4, 139, 229, 93, 194, 8, 0 })<br /> 返回 (0)<br /> <br /> .子程序 Xcode, 整数型, 公开, 内存指针读写操作<br /> .参数 ptr, 整数型<br /> .参数 dev, 整数型<br /> .参数 val, 整数型<br /> .参数 flags, 整数型<br /> <br /> 置入代码 ({ 139, 69, 20, 133, 192, 117, 13, 139, 77, 12, 139, 69, 8, 139, 4, 8, 93, 194, 16, 0, 131, 248, 1, 117, 14, 139, 77, 12, 139, 69, 8, 15, 183, 4, 8, 93, 194, 16, 0, 131, 248, 2, 117, 14, 139, 77, 12, 139, 69, 8, 15, 182, 4, 8, 93, 194, 16, 0, 131, 248, 4, 117, 18, 139, 69, 8, 139, 77, 12, 139, 85, 16, 137, 20, 8, 51, 192, 93, 194, 16, 0, 131, 248, 8, 117, 20, 139, 69, 8, 139, 77, 12, 102, 139, 85, 16, 102, 137, 20, 8, 51, 192, 93, 194, 16, 0, 131, 248, 16, 117, 19, 139, 69, 8, 139, 77, 12, 102, 139, 85, 16, 136, 20, 8, 51, 192, 93, 194, 16, 0 })<br /> 返回 (0)

代码： ApiHook.rar (3.09 KB, 下载次数: 38)

2016-4-10 00:03 上传

点击文件名下载附件

cool9411

11111111111111

下雨了吗

暂时不采纳

weixiao168

好伟大的帖子

萧阳天

稳定性待验证，暂时不采纳

我妻由良

easy_hook.rar (9.91 KB, 下载次数: 31)

2016-4-10 01:18 上传

点击文件名下载附件

试试吧 用上就停不下来