apihook,关于hookapi
很多朋友对于apihook和关于hookapi不太懂,今天就由小编来为大家分享,希望可以帮助到大家,下面一起来看看吧!
如何检测自己程序的api被hook了
这个程序的原版大家自己找,名字就叫做API拦截教程。启动该程序后,按下拦截createprocess的按钮后,运行任何程序都会弹出运行程序的路径。稍微了解apihook的都了解,通常ring3下hookapi的办法有三种,一是修改程序的iat表,使api调用跳向自己的函数而不是转向api入口。二是修改api入口的机器码。三是用创建远线程CreateRemoteThread的办法来完成。那么这个教程究竟用了什么先进手法呢?先运行一次,按下按钮后,果然explorer弹出了程序的路径。此时,你如果使用icesword类的可以查看程序模块的程序查看explorer的模块,你就会发现explorer里面多了个InterceptDll.dll的模块,当我们卸载了这个dll后,这个拦截的效果就没有了。看来这个程序的核心不是那个启动的程序,而是这个dll。现在让我们看看这个InterceptDll.dll到底做了什么。先使用VC++的工具DUMPBIN将DLL中的导出函数表导出到一定义(.DEF)文件 DUMPBIN InterceptDll.dll/EXPROTS/OUT:InterceptDll.def ordinal hint RVA name 1 0 00001230 InstallHook 2 1 00001270 UninstallHook只有两个导出函数,看名字就知道,一个是安装钩子,一个卸载钩子。我们调用看看,结果连参数都不用,只要调用InstallHook就可以把InterceptDll.dll插入explorer,用UninstallHook就可以卸载钩子。看来我们不用分析他的exe文件了,因为有用的东西就在这个dll里。那么如何分析这个dll这么工作的呢?直接用ida看静态代码,可以看见dll里有vivirtualalloc,setwindowshookexa等钩子函数。但是,里面乜嘢CreateRemoteThread这个函数,那么基本可以排除了第三种方法了。修改iat或者字节数的可能性比较大一些。那么具体究竟是用了什么手段,又是怎么实现的呢?光静态看源代码看出来,我可没那种本事。如果说要实时调试explorer又非常的麻烦,那么怎么办呢?其实办法很简单啦,只要自己修改一个exe文件名让他跟explorer同名就可以了。这家伙可不管你是真李逵还是假李鬼,统统都插!我先写了个很简单的exe程序,只有一个按钮直接掉用createprocess启动notepad的小程序,然后改名为explorer。运行后让程序拦截,果然再用icesword看模块,那个InterceptDll.dll偷偷的钻进了我写的这个程序。好,现在动手钻进InterceptDll.dll的内部,看看他到底干了什么!我用的是olldbg,其实windbg也可以,我用od习惯了。先附加到我自己写的这个小explorer程序,然后在createprocess下断点,按下启动notepad的按钮,断下以后,一步一步跟踪。转载仅供参考,版权属于原作者。祝你愉快,满意请采纳哦
软件hook是什么
软件HOOK即钩子函数,钩子函数是Windows消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息。
钩子的本质是一段用以处理系统消息的程序,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
HOOK技术在windows系统下编程,应该会接触到api函数的使用,常用的api函数大概有2000个左右。今天随着控件,stl等高效编程技术的出现,api的使用概率在普通的用户程序上就变得越来越小了。当诸如控件这些现成的手段不能实现的功能时,我们还需要借助api。
关于hookapi
所谓 HookAPI,就是改写程序的 IAT,再调用我自己写的用于替换原API函数的函数。在我们自己写的API函数中,我们可以进行我们想要的工作。之后呢,可以把原来的函数传回去,也可以不传回去,只要你设计好了就行。
而所谓调用自己的函数,就是把原函数参数都传给我的替换函数。我们就可以利用这些参数去干我们想做的事。而系统呢,我想由于微软设置的这个钩子的目的(我这么认为的),所以不会去检查替换函数是否就是原函数,只要参数、返回值符合条件就行,要不会出错。替换函数的返回值最好是原函数,否则有可能会出错
HookAPI时,exe程序起到的作用就是进行Hook,把dll注入到要Hook的程序,并且传回要挂接的进程的ID或者全局钩子,以便查询所要挂接的模块的IAT。如果不注入进去,系统不会让你去查询IAT的。DLL做的事情是确定要挂接哪个函数和这个函数在哪个DLL中等。
api劫持是什么意思
api劫持的意思:ApiHook又叫做API劫持,也就是如果A程序调用了B.c里面的C函数,我们可以做到当A调用C函数执行的时候,直接执行我们自己事先准备好的函数,之后我们在执行真正的C,当然我们可以不执行C或者更改C的参数等等。
在steam上,api接口是用来与第三方网站进行合作的,大多用于发起,接受以及拒绝报价!可以理解为你可以使用api授权给网站,从而使网站更为快捷的进行交易过程!(steam确认需要你手机进行)看到这里我想你们也懂得了api的重要性,如果api被劫持,那么你的饰品,可能就不是你的了!
进行api骗术最常见的一个就是有人会给你发我们觉得你非常适合我们队伍,请点击某网页与队长交流。当然了,这个方法,大多数情况也没必要api劫持了,一般你只要点,号就没了!
而api劫持,首先它可能会用某种钓鱼网站,获取你的交易信息,以及API pay,这个环节请牢记steam网站地址,一般情况下网页比较粗糙的请进行核对!这时候要说明,没事别点任何人给你发的任何网站,包括一些不知名开箱网站,它的目的都不单纯,一般只要不瞎点,啥事儿没有!而假如你点了,就进入下一步!
不管什么原因,对方获得了你的API,那么下一步,它会在你进行交易的时候(私下或许平台)通过api pay得到你的交易信息以及交易对象的信息(头像、昵称等)并且它会拒绝掉你发出的报价,在通过它所获得的信息,仿造一个新的报价发送给你。
这里你需要注意的是,steam加入时间与steam等级等信息是无法临时伪造的,所以说,假如你发现信息不对称,请立马取消交易,并且更改密码自己交易链接api pay等信息,一般这种情况下,就没什么事儿了!
END,本文到此结束,如果可以帮助到大家,还望关注本站哦!