unit HookAPI;

//Download by http://www.codefans.net

interface

uses

   Windows, Classes;

function LocateFunctionAddress(Code: Pointer): Pointer;

function RepointFunction(OldFunc, NewFunc: Pointer): Integer;

type //定义一个入口结构

   PImage_Import_Entry = ^Image_Import_Entry;

   Image_Import_Entry = record

      Characteristics: DWORD;

      TimeDateStamp: DWORD;

      MajorVersion: Word;

      MinorVersion: Word;

      Name: DWORD;

      LookupTable: DWORD;

   end;

type //定义一个跳转的结构

   TImportCode = packed record

      JumpInstruction: Word; //定义跳转指令jmp

      AddressOfPointerToFunction: ^Pointer; //定义要跳转到的函数

   end;

   PImportCode = ^TImportCode;

implementation

function LocateFunctionAddress(Code: Pointer): Pointer;

var

   func: PImportCode;

begin

   Result := Code;

   if Code = nil then exit;

   try

      func := code;

      if (func.JumpInstruction = $25FF) then

      begin

         Result := func.AddressOfPointerToFunction^;

      end;

   except

      Result := nil;

   end;

end;

function RepointFunction(OldFunc, NewFunc: Pointer): Integer;

var

   IsDone: TList;

   function RepointAddrInModule(hModule: THandle; OldFunc, NewFunc: Pointer): Integer;

   var

      Dos: PImageDosHeader;

      NT: PImageNTHeaders;

      ImportDesc: PImage_Import_Entry;

      RVA: DWORD;

      Func: ^Pointer;

      DLL: string;

      f: Pointer;

      written: DWORD;

   begin

      Result := ;

      Dos := Pointer(hModule);

      if IsDone.IndexOf(Dos) >=  then exit;

      IsDone.Add(Dos);

      OldFunc := LocateFunctionAddress(OldFunc);

      if IsBadReadPtr(Dos, SizeOf(TImageDosHeader)) then exit;

      if Dos.e_magic <> IMAGE_DOS_SIGNATURE then exit;

      NT := Pointer(Integer(Dos) + dos._lfanew);

      RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]

         .VirtualAddress;

      if RVA =  then exit;

      ImportDesc := pointer(integer(Dos) + RVA);

      while (ImportDesc^.Name <> ) do

      begin

         DLL := PChar(Integer(Dos) + ImportDesc^.Name);

         RepointAddrInModule(GetModuleHandle(PChar(DLL)), OldFunc, NewFunc);

         Func := Pointer(Integer(DOS) + ImportDesc.LookupTable);

         while Func^ <> nil do

         begin

          f := LocateFunctionAddress(Func^);

          if f = OldFunc then

          begin

          WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, , written);

          if Written >  then Inc(Result);

          end;

          Inc(Func);

         end;

         Inc(ImportDesc);

      end;

   end;

begin

   IsDone := TList.Create;

   try

      Result := RepointAddrInModule(GetModuleHandle(nil), OldFunc, NewFunc);

   finally

      IsDone.Free;

   end;

end;

进行OpenProcess时,单个程序HOOK时会正常,但同时运行两个一样的程序时,就会出问题,有没有更稳定的办法

可以看下AFXRootkit的代码.

http://code.google.com/p/delphi-hook-library/

http://bbs.2ccc.com/topic.asp?topicid=479563

http://bbs.2ccc.com/topic.asp?topicid=525150

R3 HOOK OpenProcess 的问题的更多相关文章

  1. 【Hook技术】实现从"任务管理器"中保护进程不被关闭 + 附带源码 + 进程保护知识扩展

    [Hook技术]实现从"任务管理器"中保护进程不被关闭 + 附带源码 + 进程保护知识扩展 公司有个监控程序涉及到进程的保护问题,需要避免用户通过任务管理器结束掉监控进程,这里使用 ...

  2. HOOK API(四)—— 进程防终止

    HOOK API(四) —— 进程防终止 0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API ...

  3. 64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )

    64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 ) [PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码] glhH ...

  4. API HOOK库

    API HOOK库 API HOOK有两种做法,一种是SetWindowHookEx,简单易用,但如果做其它的HOOK,如HOOK OpenProcess,就需要修改内存地址了,内存地址可以通过Wri ...

  5. 我的API HOOK库

    API HOOK有两种做法,一种是SetWindowHookEx,简单易用,但如果做其它的HOOK,如HOOK OpenProcess,就需要修改内存地址了,内存地址可以通过WriteProcessM ...

  6. HOOK API(四) —— 进程防终止

    0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API的起因是因为要实现对剪切板的监控,后来面对 ...

  7. 进程保护原理Hook函数Openprocess

    Win32子系统:                                                                                            ...

  8. c# r3 inline hook

    前言 老婆喜欢在QQ游戏玩拖拉机,且安装了一个记牌器小软件,打开的时候弹出几个IE页面加载很多广告,于是叫我去掉广告.想想可以用OD进行nop填充,也可以写api hook替换shellexecute ...

  9. 通过SSDT HOOK实现进程保护和进程隐藏

    ---恢复内容开始--- 首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧...... SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用 ...

随机推荐

  1. SCM文章9类:外部中断示例程序

    JP3遇见P0口,JP5遇见P3口,P1接受该发光二极管,什么时候P1所有的都是高时,,全亮度发光二极管.因为外部中断0和1用同样的方法.这里只是外部中断0计划. #include<reg51. ...

  2. TCP基础

    TCP基础知识 复习   前言 说来惭愧,大二时候学的计算机网络好多都不太记得了,不过还好有认真学过,捡起来也挺快的,就是对于现在业界中使用的网络算法的不是很懂: 1 TCP报文段结构 1.1 序号和 ...

  3. hexo主题选择和配置

    之前用next主题,发现文章标题都是h2,不利于seo,想着通过改模板改成h1的,发现很繁琐.今天发现,通过下载指定版本的next后,标题自动是h1的. 参考网页https://notes.iissn ...

  4. FrameLayout帧布局

    一.FrameLayout(帧布局)重点: FrameLayout(帧布局)可以说是五大布局中最为简单的一个布局,这个布局会默认把控件放在屏幕上的左上角的区域,后续添加的控件会覆盖前一个,如果控件的大 ...

  5. 关于linux下如何使用svn 客户端

    1 yum install -y subversion (下载svn) 2 svn chekout "你的svn地址" 然后会询问? 我也不知道是嗄意思 , 大体就是权限什么乱七八 ...

  6. VS2010中新控件的编程------颜色按钮类和颜色对话框

    (1)      颜色按钮类和颜色对话框 1) 颜色对话框 MFC提供了颜色对话框类CMFCColorDialog进行颜色的选择,系统可以利用DoModal()调用,然后选择相应的颜色. CMFCCo ...

  7. Android 混淆[学习笔记]

    Android 混淆 Gradle的简介: http://www.flysnow.org/2015/03/30/manage-your-android-project-with-gradle.html ...

  8. Gradle Android它自己的编译脚本教程的最新举措(提供demo源代码)

    一.前言 Gradle 是以 Groovy 语言为基础,面向Java应用为主.基于DSL(领域特定语言)语法的自己主动化构建工具. 上面这句话我认为写得非常官方,大家仅仅需知道Gradle能够用来an ...

  9. 在wpf datagrid中,想要根据一个条件来改变datagrid行的背景颜色

    原文:在wpf datagrid中,想要根据一个条件来改变datagrid行的背景颜色 在wpf datagrid中,想要根据一个条件来改变datagrid行的背景颜色 例如根据学生的年龄来修改,年龄 ...

  10. [Hibernate系列—] 3. 映射文件和使用SchemaExport制作自己主动Schema

    自己定义映射文件 这里的映射文件指的是相应到数据库表的xml 的定义文件. 相应的每一个数据库表栏位, 能够定义的属性有: 属性名 类型 Description length number 栏位的长度 ...