2024年4月3日发(作者:)

上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新.

这一期我们来谈谈 API HOOK

API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通

讯,游戏外

挂,internet通信等领域API HOOK的中文意思就是钩住API,对API进行预处理,先执

行我们的函数,例

如我们用API Hook技术挂接ExitWindowsEx API函数,使关机失效,挂接

ZwOpenProcess函

数,隐藏进程等等......

总的来说,常用的挂钩API方法有以下两种: <一>改写IAT导入表法

我们知道,Windows下的可执行文档的文件格式是一种叫PE(“portable

executable”,可移植

的可执行文件)的文件格式,这种文件格式

是由微软设计的,接下来这张图描述了PE文件的结构:

+-------------------------------+ - offset 0

| MS DOS标志("MZ") 和 DOS块 |

+-------------------------------+

| PE 标志 ("PE") |

+-------------------------------+

| .text |

| 程序代码 |

| |

+-------------------------------+

| .data |

| 已初始化的数据 |

| |

+-------------------------------+

| .idata |

- 模块代码

- 已初始化的(全局静态)数据

- 导入函数的信息和数据