APIHook.rar_Hookapi_APIHOOK_apihook_capihook_通用hook框架资源-CSDN文库

共34个文件

cpp：6个

h：4个

ncb：3个

版权申诉

apihook

api_hook

31 浏览量 2022-09-24 13:45:32 上传评论收藏 127KB RAR 举报

API Hook是一种技术，它允许程序员拦截和修改特定API（应用程序编程接口）的调用行为。在Windows操作系统中，API Hook通常通过钩子函数（Hook Function）来实现，这些函数会在目标API被调用前或调用后执行。API Hook的应用场景广泛，包括调试、日志记录、性能分析、安全检测等。 API Hook通用框架的实现是为了解决跨多个API的统一处理问题，减少重复编码，提高代码复用性。这种框架一般会包含以下几个关键组件： 1. **钩子注册与卸载**：框架会提供一套接口，允许开发者注册他们想要拦截的API，并指定相应的钩子处理函数。同样，框架也需要提供卸载钩子的机制，以在不再需要时恢复正常的API调用流程。 2. **钩子管理器**：这是一个核心组件，负责维护所有已注册的钩子，并在适当的时候插入钩子函数到API的调用链中。在Windows系统中，这通常涉及到修改函数指针或钩子链表。 3. **钩子处理函数**：这是实际执行拦截和修改API行为的地方。开发者可以定义自己的处理函数，框架会确保这些函数在API调用前后被正确执行。 4. **兼容性和稳定性**：一个通用的API Hook框架需要考虑不同API的调用方式和各种环境因素，如32位和64位系统、动态库与静态库的API、线程安全等。框架应该尽可能地确保在各种情况下稳定工作。 5. **错误处理和调试**：框架应提供良好的错误报告机制，帮助开发者定位和修复问题。有时，API Hook可能会导致应用程序崩溃，因此框架应提供调试工具和日志功能。在“API Hook通用框架的实现”这个文档中，可能涵盖了如何创建和管理钩子，如何编写钩子处理函数，以及如何在不同的API上应用这些技术。文件“www.pudn.com.txt”可能是文档的源文件，提供了更详细的实现步骤、示例代码或者相关的讨论。学习和掌握API Hook技术，不仅需要理解Windows API的工作原理，还需要熟悉内存管理和进程间通信等相关知识。同时，了解如何安全、高效地使用API Hook框架，能够极大地提升软件开发的灵活性和功能性。在实际项目中，开发者应当谨慎使用API Hook，因为它可能对系统性能产生影响，也可能引发未知的副作用。

资源详情

资源评论

资源推荐

收起资源包目录

APIHook.rar （34个子文件）

API Hook通用框架的实现

HookApi通用框架

NtNotifyProcessCreateExeTEST

NtNotifyProcessCreateExeTEST.opt 51KB

NtNotifyProcessCreateExeTEST.plg 2KB

NtNotifyProcessCreateExeTEST.dsw 581B

NtNotifyProcessCreateExeTEST.cpp 937B

NtNotifyProcessCreateExeTEST.dsp 4KB

NtNotifyProcessCreateExeTEST.ncb 57KB

Common

CodeInject.h 3KB

NtSysOperate.h 2KB

NtNotifyProcessCreate.h 1KB

TEST程序

TEST.opt 48KB

TEST.plg 1KB

TEST.ncb 41KB

TEST.cpp 275B

TEST.dsw 533B

TEST.dsp 3KB

LoadDriver

NtSysOperate.cpp 6KB

HookApiDll

InsteadApiFunction.cpp 3KB

HookApiDll.plg 1KB

HookApiDll.cpp 8KB

HookApiDll.h 1KB

HookApiDll.dsw 545B

HookApiDll.dsp 4KB

HookApiDll.ncb 65KB

HookApiDll.opt 49KB

NtNotifyProcessCreate

SOURCES 100B

MAKEFILE 267B

NtNotifyProcessCreate.c 6KB

Bin

NtNotifyProcessCreate.sys 5KB

CopyBinaryFile.bat 723B

NtNotifyProcessCreateExeTEST.exe 160KB

TEST.exe 24KB

HookApiDll.dll 200KB

CodeInject

CodeInject.cpp 17KB

www.pudn.com.txt 218B

/* * * 监视进程驱动 * * Made By Adly * * Email : Raojianhua242@yahoo.com.cn * * 2008-7-17 */ #include <ntddk.h> #include <ntstatus.h> //状态码头定义 #include "..\\Common\\NtNotifyProcessCreate.h" //头文件 //---------------------------------------------------------------------------------------- // 扩展设备结构体 typedef struct _DEVICE_EXTENSION { PDEVICE_OBJECT DeviceObject; HANDLE hProcessHandle; PKEVENT ProcessEvent; HANDLE hPParentId; HANDLE hPProcessId; BOOLEAN bPCreate; } DEVICE_EXTENSION, *PDEVICE_EXTENSION; //---------------------------------------------------------------------------------- //全局设备对象指针 PDEVICE_OBJECT g_pDeviceObject = NULL; //---------------------------------------------------------------------------------- // 监视进程回调函数 VOID ProcNotifyCallBack( IN HANDLE hParentId, IN HANDLE hProcessId, IN BOOLEAN bCreate ) { PDEVICE_EXTENSION pDevEx; //设备扩展指针 pDevEx = g_pDeviceObject->DeviceExtension; //得到全局设备对象中的设备扩展 pDevEx->hPParentId = hParentId; //得到父进程ID pDevEx->hPProcessId = hProcessId; //得到当前进程ID pDevEx->bPCreate = bCreate; //创建进程? //设置扩展中的事件,使Ring3程序得到通知 //此时,Ring3程序应该使用DeviceIoControl发送IOCTL_GET_PROCESS_INFO控制码 //得到进程创建信息 KeSetEvent(pDevEx->ProcessEvent, 0, FALSE); KeClearEvent(pDevEx->ProcessEvent); //清除通知事件 DbgPrint("CreateProcess: hParentId: %08X hProcessId: %08X bCreate: %d", hParentId, hProcessId, bCreate); } //---------------------------------------------------------------------------------- // 分发例程 NTSTATUS ProcNotifyDeviceIoCtl(PDEVICE_OBJECT pDeviceObject, PIRP Irp) { NTSTATUS ntStatus = STATUS_UNSUCCESSFUL; //得到当前Irp栈位置 PIO_STACK_LOCATION IrpStack = IoGetCurrentIrpStackLocation(Irp); //得到当前设备扩展 PDEVICE_EXTENSION pDevEx = pDeviceObject->DeviceExtension; PCALLBACK_INFO pCallbackInfo; //回调信息结构体 //对IO控制码进行分发 switch(IrpStack->Parameters.DeviceIoControl.IoControlCode) { case IOCTL_GET_PROCESS_INFO: //获取进程创建信息 if(IrpStack->Parameters.DeviceIoControl.OutputBufferLength >= sizeof(CALLBACK_INFO)) { //返回进程创建信息结构 pCallbackInfo = Irp->AssociatedIrp.SystemBuffer; pCallbackInfo->hParentId = pDevEx->hPParentId; pCallbackInfo->hProcessId = pDevEx->hPProcessId; pCallbackInfo->bCreate = pDevEx->bPCreate; //状态信息成功 ntStatus = STATUS_SUCCESS; } else { //返回缓冲区太小 ntStatus = STATUS_BUFFER_TOO_SMALL; } break; default: break; } //Irp中存放状态信息 Irp->IoStatus.Status = ntStatus; if(STATUS_SUCCESS == ntStatus) { //成功,返回 Irp->IoStatus.Information = IrpStack->Parameters.DeviceIoControl.OutputBufferLength; } else { //失败,返回长度0 Irp->IoStatus.Information = 0; } //完成请求 IoCompleteRequest(Irp, IO_NO_INCREMENT); DbgPrint("CreateProcess: DeviceIoControl Success!"); return ntStatus; } //---------------------------------------------------------------------------------- // 卸载例程 void ProcNotifyUnload(PDRIVER_OBJECT pDriverObject) { NTSTATUS ntStatus = STATUS_SUCCESS; UNICODE_STRING uszDeviceString; //设备名字符串 //进程创建提示从链表清除 ntStatus = PsSetCreateProcessNotifyRoutine(ProcNotifyCallBack, TRUE); //初始化Unicode字符串 RtlInitUnicodeString(&uszDeviceString, DEVICE_NAME); //删除符号链接 IoDeleteSymbolicLink(&uszDeviceString); //删除设备对象 IoDeleteDevice(pDriverObject->DeviceObject); DbgPrint("CreateProcess: Unload Success!"); } //---------------------------------------------------------------------------------- // 创建例程 NTSTATUS ProcNotifyCreate(IN PDEVICE_OBJECT pDeviceObject, IN PIRP Irp) { //返回状态信息 Irp->IoStatus.Information = 0; Irp->IoStatus.Status = STATUS_SUCCESS; //完成请求 IoCompleteRequest(Irp, IO_NO_INCREMENT); DbgPrint("CreateProcess: Create Success!"); return STATUS_SUCCESS; } //---------------------------------------------------------------------------------- // 驱动入口 NTSTATUS DriverEntry( PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath ) { UNICODE_STRING uszDriverString; //驱动名字符串 UNICODE_STRING uszDeviceString; //设备名字符串 UNICODE_STRING uszProcessEventString; //事件名字符串 PDEVICE_OBJECT pDeviceObject; //设备对象 PDEVICE_EXTENSION pDevEx; //设备扩展 NTSTATUS ntStatus = STATUS_SUCCESS; //------测试 DbgPrint("CreateProcess: DriverEntry!"); //初始化Unicode字符串 RtlInitUnicodeString(&uszDriverString, DRIVER_NAME); RtlInitUnicodeString(&uszDeviceString, DEVICE_NAME); RtlInitUnicodeString(&uszProcessEventString, PROCESS_EVENT_NAME); //创建设备对象 ntStatus = IoCreateDevice( pDriverObject, //驱动对象 sizeof(DEVICE_EXTENSION), //扩展对象大小 &uszDriverString, //驱动字符串 FILE_DEVICE_UNKNOWN, //设备类型 FILE_DEVICE_SECURE_OPEN, //设备特征 FALSE, //唯一,系统保留,FALSE &pDeviceObject //设备对象 ); if(STATUS_SUCCESS != ntStatus) { //创建设备对象失败 //------测试 DbgPrint("CreateProcess: IoCreateDevice Failed!"); return ntStatus; } //------测试 DbgPrint("CreateProcess: IoCreateDevice Success!"); //取得设备扩展 pDevEx = pDeviceObject->DeviceExtension; //保存设备对象到全局变量 g_pDeviceObject = pDeviceObject; /////////////////////////////////////////////////////////////////////// //分配处理例程 // //创建例程 pDriverObject->MajorFunction[IRP_MJ_CREATE] = ProcNotifyCreate; //分发例程 pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = ProcNotifyDeviceIoCtl; //卸载例程 pDriverObject->DriverUnload = ProcNotifyUnload; //创建符号链接 ntStatus = IoCreateSymbolicLink(&uszDeviceString, &uszDriverString); if(STATUS_SUCCESS != ntStatus) { //创建符号链接失败 IoDeleteDevice(pDeviceObject); //删除设备对象 return ntStatus; } //创建一个句柄相关的事件 pDevEx->ProcessEvent = IoCreateNotificationEvent(&uszProcessEventString, &pDevEx->hProcessHandle); //清除事件 KeClearEvent(pDevEx->ProcessEvent); //创建进程提示回调例程加到链表中 ntStatus = PsSetCreateProcessNotifyRoutine(ProcNotifyCallBack, FALSE); DbgPrint("CreateProcess: Load Success!"); return ntStatus; }