搜索资源列表
HookAPI 1.7 Windows API钩子程序
- 通过修改API函数开始前5字节,跳转到自定义API的方式,截获函数调用. 支持Win95,Win32等系统,在WinXp sp2或以后系统中使用,会出现蓝屏,原因是程序修改了代码的页面权限为PAGE_READWRITE,导至WinXP Sp2的系统保护功能出现蓝屏,只需将源代码里的所有PAGE_READWRITE修改为 PAGE_READWRITE_EXECUTE即可正常使用.
NT环境下调用中断门运行特权指令
- NT环境下调用中断门运行特权指令,在用户级调用系统级中断-NT environment door interrupted called Operation privileged instructions, the user-called system-level disruption
apihooktest2
- 一、前言 前一段时间发表了一篇文章 “Hook API 工具”,没有附带主程序的源代码,这几天翻出来代码加了些注释,现在补上。不过大家还是最好看看牛的书,书上讲解很详细。 二、对代码的简单说明 总共3个工程,1个主程序,1个HookDll, 1个例子Dll。主程序负责启动进程,并将 HookDll 注入。还有一些额外的功能,比如显示 Log, 例子Dll的信息,导出函数等,HookDll 在 DllMain 启动的时候根据配置钩住指定的 API 函数 三、这
Hook_Windows_API
- 这篇文章是有关在OS Windows下挂钩API函数的方法。所有例子都在基于NT技术的Windows版本NT 4.0及以上有效(Windows NT 4.0, Windows 2000, Windows XP)。可能在其它Windows系统也会有效。 你应该比较熟悉Windows下的进程、汇编器、PE文件结构和一些API函数,才能明白这篇文章里的内容。 这里使用\"Hooking API\"这个术语表示对API的完全修改。当调用被挂钩的API时,我们的代码能立刻被执行。我将写下完全
rawinput
- 主要流程: 1、向系统注册一个或者多个原始输入设备 2、在你注册的原始输入设备数据发生变化时,系统发送一个消息及新数据到你的进程 3、调用GetRawInputData或者GetRawInputBuffer来获取这些数据 简单修改了下,把一些不需要的信息去掉了,把头文件稍微改了下,因为有些人的SDK有点旧。然后加了当前键盘焦点窗口判断(很简单的实现,但是用起来很方便:)。 -main processes : 1, the registration system to o
SSDT
- 通过例子介绍了Windows系统服务调用的基本知识及Hook SSDT的方法-by example on the Windows system service called the basic knowledge and methods Hook SSDT
hookdemo
- delphi下 系统编程 钩子函数的调用
hook
- 通过调用.dll文件获得系统消息控制权 该程序仅为尝试小做
driver
- 用DDDK编写驱动,修改SSDT表HOOK NTDebugActiveProcess函数 钩子函数中可以判断PID号,决定是否放行,放行则在钩子函数中调用原来的NTDebugActiveProcess函数.否则直接返回False.HOOK成功后所有调用DebugActiveProcess的程序将会失效.当然可以按照你的需要HOOK更多的系统服务函数.同一服务函数的服务号在每个操作系统版本中是不同的.下面附件中编译完成的驱动请在WinXP SP2的环境下测试.否则可能会导致直接重启
Hook
- 钩子(hook)是Windows消息处理机制的一部分,用户应用程序设置钩子后就可截获所有Windows系统消息。钩子安装成功后就可通过钩子的过程处理函数处理所截获的消息。通常将钩子的安装及处理函数放在动态链接库中,供系统中每个进程调用。钩子安装后会对系统产生一定的影响。因此在使用完钩子后应及时将其释放掉。 动态链接库编程编译、链接生成的*.dll和*.lib文件可供其他调用DLL的应用程序使用。
KauthORama
- MacOS10.4以上版本的系统调用hook方法样例
subiaoquci
- 屏幕上的大多数文字都是由gdi32.dll的以下几个函数显示的: TextOuA,TextOutW,ExtTextOutA,ExtTextOutW。象user32.dll中的DrawTextA, DrawTextW都是调用GDI32.DLL的这几个函数实现的。其实大家都知道实现 屏幕抓词的关键是如何截获对这几个函数的调用。我从易到难简要描述一下 实现抓词需要做的几件事: 一、 得到鼠标的当前位置。 二、向鼠标下的窗口发重画消息,让它调用系统函数重画。 三、
HookDll
- PE文件是windows(95/98/NT)目前采用的可执行文件格式。流行的CIH病毒就是通过改变PE文件的内容,并且保持文件大小不变,从而实现自己的功能。本程序通过分析PE文件格式,将可执行文件的文件定位表重新定位,指向用户编写的DLL,然后指令指针返回正常调用位置。在DLL中通过系统挂钩,实现了后台各种级别密码的截获功能。
ApiSpy
- 参照95系统程式大奥秘最后一个APISPY32程序。里面有我加的详细注释,适合初学者理顺思路。包括工程文件。一些没有加注释的请参考程式大奥秘。另:还没有写加载器。可以手工在刺探程序中显示调用LoadLibrary,重点在学习堆栈和IAT。请注意汇编和C之间的函数互调。
pefile
- PE文件是windows(9598NT)目前采用的可执行文件格式。流行的CIH病毒就是通过改变PE文件的内容,并且保持文件大小不变,从而实现自己的功能。本程序通过分析PE文件格式,将可执行文件的文件定位表重新定位,指向用户编写的DLL,然后指令指针返回正常调用位置。在DLL中通过系统挂钩,实现了后台各种级别密码的截获功能。-PE document windows (9598NT) of the executable file format. Popular CIH virus is throug
PE文件格式
- PE文件是windows(9598NT)目前采用的可执行文件格式。流行的CIH病毒就是通过改变PE文件的内容,并且保持文件大小不变,从而实现自己的功能。本程序通过分析PE文件格式,将可执行文件的文件定位表重新定位,指向用户编写的DLL,然后指令指针返回正常调用位置。在DLL中通过系统挂钩,实现了后台各种级别密码的截获功能-PE document windows (9598NT) of the executable file format. Popular CIH virus is through
InjectDLL
- DLL注入用于运行,迫使它加载一个动态链接库在另一个进程的地址空间代码的技术。 DLL注入经常被第三方开发的方式来影响它的作者并没有预料或打算程序的行为。例如,注入的代码可以捕获系统功能调用,或阅读文本框的密码,不能以通常的方式完成的内容。
hookSysFastCall.rar
- 一个挂钩系统调用表的小示例,用DDK的Build工具生成。,A linked system call table of a small sample, using the Build tool to generate DDK.
SYSENTER-hook
- SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门 用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的 调用都是通过 call/trap/task这一类的gate来实现的,这种方式会进行栈切换,并且系统栈的地址等信息由TSS提供。这种方式可能会引起多
Hook-KiFastCallEntry
- Hook KiFastCallEntry监控系统调用 这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。-The monitoring system Hook KiFastCallEntry call this is a small program to monitor specific process system calls, finishing hard disk when you fi