hook学习 - 精易论坛 - Powered by Discuz!

窗口程序集名	保留	保留	备注
程序集1

子程序名	返回值类型	公开	备注
_启动子程序	整数型		请在本子程序中放置动态链接库初始化代码

hook ()
_临时子程序 () ' 在初始化代码执行完毕后调用测试代码
返回 (0) ' 返回值被忽略。

子程序名	返回值类型	公开	备注
_临时子程序

' 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。

子程序名	返回值类型	公开	备注
hook

变量名	类型	静态	数组	备注
hProcess	整数型
pfnhook	整数型
fnhook	字节集
lw	lwcom
modProcess	MODULEENTRY32		0
i	整数型
hKernelUtil	整数型
hookaddr	整数型

hProcess ＝ -1 ' 因为是注入所以就是自身了
EnumModule (modProcess, 0)

计次循环首 (取数组下标 (modProcess, ), i) ' 枚举出模块选择我们需要改写的地址

如果真 (到文本 (modProcess [i].szModule) ＝ “KernelUtil.dll”)

hKernelUtil ＝ modProcess [i].hModule

跳出循环 ()

计次循环尾 ()
hookaddr ＝ hKernelUtil ＋ HEX_to_DEC (“8336A”)
pfnhook ＝ VirtualAlloc (0, 1024, #MEM_COMMIT, HEX_to_DEC ( #PAGE_EXECUTE_READWRITE ))  ' 申请一块内存用于写入我们自己的汇编程序
lw.Initialize ()
lw.AsmAdd (“pushad”)
' ---------------函数1
lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (pfnhook ＋ 1 － 1), DEC_to_HEX (取子程序地址 (&hook2))))  ' call我们的处理程序 call的地址要根据申请内存和自己程序的地址来计算偏移
lw.AsmAdd (“popad”)
lw.AsmAdd (“mov [ecx],eax”)  ' 这是我们修改的地方本身的操作，要给他保留回去防止出错
lw.AsmAdd (“mov eax,[ebp+10]”)  ' 这是我们修改的地方本身的操作，要给他保留回去防止出错
lw.AsmAdd (“ret”)  ' 我们只是读数据  所以要保留修改的地方的汇编代码
fnhook ＝ HEX_to_Bytes (lw.AsmCode ())
WriteProcessMemory (hProcess, pfnhook, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把我们的汇编代码写入刚刚申请的内存
lw.AsmClear ()
lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (hookaddr), DEC_to_HEX (pfnhook)))  ' 这里是我们要把hook 的地方跳转到我们的函数函数1 偏移自己算
fnhook ＝ HEX_to_Bytes (lw.AsmCode ())
WriteProcessMemory (hProcess, hookaddr, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把这段汇编替换掉原来的汇编

子程序名	返回值类型	公开	备注
hook2

变量名	类型	静态	数组	备注
EAX	整数型
EBX	整数型
EDX	整数型

置入代码 ({ 137, 69, 252, 137, 93, 248, 137, 85, 244 }) ' 这里就把 eax和ebx edx分别取出来了
' 我不知道为什么如果把打开文件写到这里的话,变量eax和变量ebx的值就变成空了。我也是新手不太理解但是如果是调用另一个子程序他就不会变
子程序1 (EAX, EBX, EDX) ' 通过处理
返回 ()

子程序名	返回值类型	公开	备注
子程序1
参数名	类型	参考	可空	数组	备注
eax	整数型
ebx	整数型
edx	整数型

变量名	类型	静态	数组	备注
a	整数型

如果真 (ebx ＝ 5 且 eax ≠ 0 且 edx ＝ HEX_to_DEC (“A0”))

a ＝打开文件 (“C:\Users\asd\Desktop\log.txt”, 2, )

移到文件尾 (a)

如果 (eax ＜ 0)

插入文本行 (a, “qqNUM:” ＋到文本 (2147483647 × 2 ＋ eax ＋ 2))

插入文本行 (a, “qqNUM:” ＋到文本 (eax))

关闭文件 (a)
返回 ()

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br />
.支持库 spec<br />
<br />
.程序集 程序集1<br />
<br />
.子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码<br />
<br />
hook ()<br />
_临时子程序 ()  ' 在初始化代码执行完毕后调用测试代码<br />
返回 (0)  ' 返回值被忽略。<br />
<br />
.子程序 _临时子程序<br />
<br />
' 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。<br />
<br />
.子程序 hook, , 公开<br />
.局部变量 hProcess, 整数型<br />
.局部变量 pfnhook, 整数型<br />
.局部变量 fnhook, 字节集<br />
.局部变量 lw, lwcom<br />
.局部变量 modProcess, MODULEENTRY32, , "0"<br />
.局部变量 i, 整数型<br />
.局部变量 hKernelUtil, 整数型<br />
.局部变量 hookaddr, 整数型<br />
<br />
hProcess ＝ -1  ' 因为是注入 所以就是自身了<br />
EnumModule (modProcess, 0)<br />
.计次循环首 (取数组下标 (modProcess, ), i)  ' 枚举出模块 选择我们需要改写的地址<br />
    .如果真 (到文本 (modProcess <i>.szModule) ＝ “KernelUtil.dll”)<br />
        hKernelUtil ＝ modProcess <i>.hModule<br />
        跳出循环 ()<br />
    .如果真结束<br />
<br />
.计次循环尾 ()<br />
hookaddr ＝ hKernelUtil ＋ HEX_to_DEC (“8336A”)<br />
pfnhook ＝ VirtualAlloc (0, 1024, #MEM_COMMIT, HEX_to_DEC (#PAGE_EXECUTE_READWRITE))  ' 申请一块内存 用于写入我们自己的汇编程序<br />
lw.Initialize ()<br />
lw.AsmAdd (“pushad”)<br />
' ---------------函数1<br />
lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (pfnhook ＋ 1 － 1), DEC_to_HEX (取子程序地址 (&hook2))))  ' call我们的处理程序 call的地址 要根据申请内存和自己程序的地址 来计算偏移<br />
lw.AsmAdd (“popad”)<br />
lw.AsmAdd (“mov [ecx],eax”)  ' 这是我们修改的地方本身的操作，要给他保留回去 防止出错<br />
lw.AsmAdd (“mov eax,[ebp+10]”)  ' 这是我们修改的地方本身的操作，要给他保留回去 防止出错<br />
lw.AsmAdd (“ret”)  ' 我们只是读数据  所以要保留修改的地方的汇编代码<br />
fnhook ＝ HEX_to_Bytes (lw.AsmCode ())<br />
WriteProcessMemory (hProcess, pfnhook, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把我们的汇编代码写入刚刚申请的内存<br />
lw.AsmClear ()<br />
lw.AsmAdd (“call ” ＋ lw.AsmCallret (DEC_to_HEX (hookaddr), DEC_to_HEX (pfnhook)))  ' 这里是我们要把hook 的地方 跳转到我们的函数 函数1 偏移自己算<br />
fnhook ＝ HEX_to_Bytes (lw.AsmCode ())<br />
WriteProcessMemory (hProcess, hookaddr, 取变量数据地址 (fnhook), 取字节集长度 (fnhook), 0)  ' 把这段汇编 替换掉原来的汇编<br />
<br />
.子程序 hook2, , 公开<br />
.局部变量 EAX, 整数型<br />
.局部变量 EBX, 整数型<br />
.局部变量 EDX, 整数型<br />
<br />
置入代码 ({ 137, 69, 252, 137, 93, 248, 137, 85, 244 })  ' 这里就把 eax和ebx edx分别取出来了<br />
' 我不知道为什么 如果把 打开文件写到这里的话,变量eax和变量ebx的值就变成空了。我也是新手不太理解 但是 如果是调用另一个子程序他就不会变<br />
子程序1 (EAX, EBX, EDX)  ' 通过处理<br />
返回 ()<br />
<br />
.子程序 子程序1<br />
.参数 eax, 整数型<br />
.参数 ebx, 整数型<br />
.参数 edx, 整数型<br />
.局部变量 a, 整数型<br />
<br />
.如果真 (ebx ＝ 5 且 eax ≠ 0 且 edx ＝ HEX_to_DEC (“A0”))<br />
    a ＝ 打开文件 (“C:\Users\asd\Desktop\log.txt”, 2, )<br />
    移到文件尾 (a)<br />
    .如果 (eax ＜ 0)<br />
        插入文本行 (a, “qqNUM:” ＋ 到文本 (2147483647 × 2 ＋ eax ＋ 2))<br />
    .否则<br />
        插入文本行 (a, “qqNUM:” ＋ 到文本 (eax))<br />
    .如果结束<br />
    关闭文件 (a)<br />
.如果真结束<br />
返回 ()