unit HookAPI;

//Download by http://www.codefans.net

interface

uses

   Windows, Classes;

function LocateFunctionAddress(Code: Pointer): Pointer;

function RepointFunction(OldFunc, NewFunc: Pointer): Integer;

type //定义一个入口结构

   PImage_Import_Entry = ^Image_Import_Entry;

   Image_Import_Entry = record

      Characteristics: DWORD;

      TimeDateStamp: DWORD;

      MajorVersion: Word;

      MinorVersion: Word;

      Name: DWORD;

      LookupTable: DWORD;

   end;

type //定义一个跳转的结构

   TImportCode = packed record

      JumpInstruction: Word; //定义跳转指令jmp

      AddressOfPointerToFunction: ^Pointer; //定义要跳转到的函数

   end;

   PImportCode = ^TImportCode;

implementation

function LocateFunctionAddress(Code: Pointer): Pointer;

var

   func: PImportCode;

begin

   Result := Code;

   if Code = nil then exit;

   try

      func := code;

      if (func.JumpInstruction = $25FF) then

      begin

         Result := func.AddressOfPointerToFunction^;

      end;

   except

      Result := nil;

   end;

end;

function RepointFunction(OldFunc, NewFunc: Pointer): Integer;

var

   IsDone: TList;

   function RepointAddrInModule(hModule: THandle; OldFunc, NewFunc: Pointer): Integer;

   var

      Dos: PImageDosHeader;

      NT: PImageNTHeaders;

      ImportDesc: PImage_Import_Entry;

      RVA: DWORD;

      Func: ^Pointer;

      DLL: string;

      f: Pointer;

      written: DWORD;

   begin

      Result := ;

      Dos := Pointer(hModule);

      if IsDone.IndexOf(Dos) >=  then exit;

      IsDone.Add(Dos);

      OldFunc := LocateFunctionAddress(OldFunc);

      if IsBadReadPtr(Dos, SizeOf(TImageDosHeader)) then exit;

      if Dos.e_magic <> IMAGE_DOS_SIGNATURE then exit;

      NT := Pointer(Integer(Dos) + dos._lfanew);

      RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]

         .VirtualAddress;

      if RVA =  then exit;

      ImportDesc := pointer(integer(Dos) + RVA);

      while (ImportDesc^.Name <> ) do

      begin

         DLL := PChar(Integer(Dos) + ImportDesc^.Name);

         RepointAddrInModule(GetModuleHandle(PChar(DLL)), OldFunc, NewFunc);

         Func := Pointer(Integer(DOS) + ImportDesc.LookupTable);

         while Func^ <> nil do

         begin

          f := LocateFunctionAddress(Func^);

          if f = OldFunc then

          begin

          WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, , written);

          if Written >  then Inc(Result);

          end;

          Inc(Func);

         end;

         Inc(ImportDesc);

      end;

   end;

begin

   IsDone := TList.Create;

   try

      Result := RepointAddrInModule(GetModuleHandle(nil), OldFunc, NewFunc);

   finally

      IsDone.Free;

   end;

end;

进行OpenProcess时,单个程序HOOK时会正常,但同时运行两个一样的程序时,就会出问题,有没有更稳定的办法

可以看下AFXRootkit的代码.

http://code.google.com/p/delphi-hook-library/

http://bbs.2ccc.com/topic.asp?topicid=479563

http://bbs.2ccc.com/topic.asp?topicid=525150

R3 HOOK OpenProcess 的问题的更多相关文章

  1. 【Hook技术】实现从"任务管理器"中保护进程不被关闭 + 附带源码 + 进程保护知识扩展

    [Hook技术]实现从"任务管理器"中保护进程不被关闭 + 附带源码 + 进程保护知识扩展 公司有个监控程序涉及到进程的保护问题,需要避免用户通过任务管理器结束掉监控进程,这里使用 ...

  2. HOOK API(四)—— 进程防终止

    HOOK API(四) —— 进程防终止 0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API ...

  3. 64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )

    64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 ) [PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码] glhH ...

  4. API HOOK库

    API HOOK库 API HOOK有两种做法,一种是SetWindowHookEx,简单易用,但如果做其它的HOOK,如HOOK OpenProcess,就需要修改内存地址了,内存地址可以通过Wri ...

  5. 我的API HOOK库

    API HOOK有两种做法,一种是SetWindowHookEx,简单易用,但如果做其它的HOOK,如HOOK OpenProcess,就需要修改内存地址了,内存地址可以通过WriteProcessM ...

  6. HOOK API(四) —— 进程防终止

    0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API的起因是因为要实现对剪切板的监控,后来面对 ...

  7. 进程保护原理Hook函数Openprocess

    Win32子系统:                                                                                            ...

  8. c# r3 inline hook

    前言 老婆喜欢在QQ游戏玩拖拉机,且安装了一个记牌器小软件,打开的时候弹出几个IE页面加载很多广告,于是叫我去掉广告.想想可以用OD进行nop填充,也可以写api hook替换shellexecute ...

  9. 通过SSDT HOOK实现进程保护和进程隐藏

    ---恢复内容开始--- 首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧...... SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用 ...

随机推荐

  1. matlab 格式化文本文件的解析

    比如这样一种格式化的文本文件,文件说明及下载地址:/pub/machine-learning-databases/statlog/german/ 的索引 fid = fopen('german.dat ...

  2. ckplayer 插件在线视频播放

    1. CKplayer 它是一款用于网页上播放视频的插件,支持的格式有:http 协议上的 flv, f4v, mp4格式,同时支持 rtmp 视频流格式播放.使用非常简单. <html> ...

  3. 【a401】直线的交点数

    Time Limit: 1 second Memory Limit: 32 MB [问题描述] 平面上有n条直线,且无三线共点,问这些直线能有多少种不同的交点数. [输入格式] n(n≤20) [输出 ...

  4. jQuery Mobile移动开发

    1.在<head>元素中包括JavaScript文件是传统的方法.然而,依据Yahoo!"80%的终于用户响应时间在前端上"的说法,这些事件大部分花在资产的下载上,比如 ...

  5. C# opcode 查询源码

    Add|将两个值相加并将结果推送到计算堆栈上.Add.Ovf|将两个整数相加,执行溢出检查,并且将结果推送到计算堆栈上.Add.Ovf.Un|将两个无符号整数值相加,执行溢出检查,并且将结果推送到计算 ...

  6. 说下IEnumerable相关的

    IEnumerable 我们每天都在使用foreach进行遍历,今天讨论下面三个常见的问题: 为什么在foreach中不能修改item的值 要实现foreach需要满足什么条件 为什么Linq to ...

  7. Android GPS获取当前位置信息

    package com.example.gpstest; import org.apache.http.util.LangUtils; import android.content.Context; ...

  8. [Example of Sklearn] - Example

    reference : http://my.oschina.net/u/175377/blog/84420 目录[-] Scikit Learn: 在python中机器学习 载入示例数据 一个改变数据 ...

  9. this指的是,调用函数的那个对象。

    恩 http://www.ruanyifeng.com/blog/2010/04/using_this_keyword_in_javascript.html

  10. s3c2410 cs8900a 网卡驱动程序

    /* CS8900a.h */ #define CONFIG_CERF_CS8900A 1 /* * cs8900a.c: A Crystal Semiconductor (Now Cirrus Lo ...