unit HookAPI;

//Download by http://www.codefans.net

interface

uses

   Windows, Classes;

function LocateFunctionAddress(Code: Pointer): Pointer;

function RepointFunction(OldFunc, NewFunc: Pointer): Integer;

type //定义一个入口结构

   PImage_Import_Entry = ^Image_Import_Entry;

   Image_Import_Entry = record

      Characteristics: DWORD;

      TimeDateStamp: DWORD;

      MajorVersion: Word;

      MinorVersion: Word;

      Name: DWORD;

      LookupTable: DWORD;

   end;

type //定义一个跳转的结构

   TImportCode = packed record

      JumpInstruction: Word; //定义跳转指令jmp

      AddressOfPointerToFunction: ^Pointer; //定义要跳转到的函数

   end;

   PImportCode = ^TImportCode;

implementation

function LocateFunctionAddress(Code: Pointer): Pointer;

var

   func: PImportCode;

begin

   Result := Code;

   if Code = nil then exit;

   try

      func := code;

      if (func.JumpInstruction = $25FF) then

      begin

         Result := func.AddressOfPointerToFunction^;

      end;

   except

      Result := nil;

   end;

end;

function RepointFunction(OldFunc, NewFunc: Pointer): Integer;

var

   IsDone: TList;

   function RepointAddrInModule(hModule: THandle; OldFunc, NewFunc: Pointer): Integer;

   var

      Dos: PImageDosHeader;

      NT: PImageNTHeaders;

      ImportDesc: PImage_Import_Entry;

      RVA: DWORD;

      Func: ^Pointer;

      DLL: string;

      f: Pointer;

      written: DWORD;

   begin

      Result := ;

      Dos := Pointer(hModule);

      if IsDone.IndexOf(Dos) >=  then exit;

      IsDone.Add(Dos);

      OldFunc := LocateFunctionAddress(OldFunc);

      if IsBadReadPtr(Dos, SizeOf(TImageDosHeader)) then exit;

      if Dos.e_magic <> IMAGE_DOS_SIGNATURE then exit;

      NT := Pointer(Integer(Dos) + dos._lfanew);

      RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]

         .VirtualAddress;

      if RVA =  then exit;

      ImportDesc := pointer(integer(Dos) + RVA);

      while (ImportDesc^.Name <> ) do

      begin

         DLL := PChar(Integer(Dos) + ImportDesc^.Name);

         RepointAddrInModule(GetModuleHandle(PChar(DLL)), OldFunc, NewFunc);

         Func := Pointer(Integer(DOS) + ImportDesc.LookupTable);

         while Func^ <> nil do

         begin

          f := LocateFunctionAddress(Func^);

          if f = OldFunc then

          begin

          WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, , written);

          if Written >  then Inc(Result);

          end;

          Inc(Func);

         end;

         Inc(ImportDesc);

      end;

   end;

begin

   IsDone := TList.Create;

   try

      Result := RepointAddrInModule(GetModuleHandle(nil), OldFunc, NewFunc);

   finally

      IsDone.Free;

   end;

end;

进行OpenProcess时,单个程序HOOK时会正常,但同时运行两个一样的程序时,就会出问题,有没有更稳定的办法

可以看下AFXRootkit的代码.

http://code.google.com/p/delphi-hook-library/

http://bbs.2ccc.com/topic.asp?topicid=479563

http://bbs.2ccc.com/topic.asp?topicid=525150

R3 HOOK OpenProcess 的问题的更多相关文章

  1. 【Hook技术】实现从"任务管理器"中保护进程不被关闭 + 附带源码 + 进程保护知识扩展

    [Hook技术]实现从"任务管理器"中保护进程不被关闭 + 附带源码 + 进程保护知识扩展 公司有个监控程序涉及到进程的保护问题,需要避免用户通过任务管理器结束掉监控进程,这里使用 ...

  2. HOOK API(四)—— 进程防终止

    HOOK API(四) —— 进程防终止 0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API ...

  3. 64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )

    64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 ) [PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码] glhH ...

  4. API HOOK库

    API HOOK库 API HOOK有两种做法,一种是SetWindowHookEx,简单易用,但如果做其它的HOOK,如HOOK OpenProcess,就需要修改内存地址了,内存地址可以通过Wri ...

  5. 我的API HOOK库

    API HOOK有两种做法,一种是SetWindowHookEx,简单易用,但如果做其它的HOOK,如HOOK OpenProcess,就需要修改内存地址了,内存地址可以通过WriteProcessM ...

  6. HOOK API(四) —— 进程防终止

    0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API的起因是因为要实现对剪切板的监控,后来面对 ...

  7. 进程保护原理Hook函数Openprocess

    Win32子系统:                                                                                            ...

  8. c# r3 inline hook

    前言 老婆喜欢在QQ游戏玩拖拉机,且安装了一个记牌器小软件,打开的时候弹出几个IE页面加载很多广告,于是叫我去掉广告.想想可以用OD进行nop填充,也可以写api hook替换shellexecute ...

  9. 通过SSDT HOOK实现进程保护和进程隐藏

    ---恢复内容开始--- 首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧...... SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用 ...

随机推荐

  1. Xcode7.1 网络请求报错

    The resource could not be loaded because the App Transport Security policy reguir 原因:iOS9引入了新特性App T ...

  2. xml报错(dtd):The markup declarations contained or pointed to by the document type declaration must be well-formed

    文件后缀为.xml里如下一行报错“The markup declarations contained or pointed to by the document type declaration mu ...

  3. Git命令小总结

    常用 git init git 初始化 git clone https://github.com/wsxx111/thisStudy.git 从远端拉下来 git status 查看跟踪状态 git ...

  4. Gamma 函数及其应用

    1. Γ(⋅) 函数定义 Γ(α)=∫∞0tα−1e−tdt 可知以下基本性质: Γ(α+1)=αΓ(α)(分部积分法) Γ(1)=1 ⇒ Γ(n+1)=n! Γ(12)=π√ 2. 常见变形 对于 ...

  5. 自定义Behavior 实现Listbox自动滚动到选中项

    原文:自定义Behavior 实现Listbox自动滚动到选中项 blend为我们提供方便的behavior来扩展我们的控件,写好之后就可以在blend中方便的使用了. 下面是自定义的behavior ...

  6. WPF中使用AxisAngleRotation3D实现CAD的2D旋转功能

    原文:WPF中使用AxisAngleRotation3D实现CAD的2D旋转功能       对于CAD图形来说,3D旋转比较常用,具体实现方法在上篇文章<WPF中3D旋转的实现 >中做了 ...

  7. WPF4文字模糊不清晰、边框线条粗细不一致的解决方法

    原文:WPF4文字模糊不清晰.边框线条粗细不一致的解决方法 软件测试过程中发现在一台1600*900的分辨率电脑上文字模糊,甚至某些个文字出现压缩扭曲 经过实践,发现按下面方法能解决一点问题: 在窗口 ...

  8. 计算机的组成 —— PCI(PCIE)、PCB

    1. PCI PCI 是 Peripheral Component Interconnect(外设部件互连标准)的缩写,它是目前个人电脑中使用最为广泛的接口,几乎所有的主板产品上都带有这种插槽. PC ...

  9. WPF 循环显示列表

    原文:WPF 循环显示列表 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/SANYUNI/article/details/79423707 项目需要 ...

  10. vi学习(1)

    今天下午看了vi频繁使用的操作,现在记录,为了方便日后查询. 按vi模式.进入命令3部分. (一) 一般模式下 字符操作:上下左右箭头(或kjhl)能够实现光标上下左右移动一位. 假设想要进行多次移动 ...