陷阱式API Hook的原理及其在截取串口数据中的应用.pptVIP

基本原理 and 在截取串口数据中的应用 ygm5169@ * * * * 利用API Hook技术将我们的程序代码注入其他进程 修改系统中的ReadFile、WriteFile、CreateFile和CloseHandle函数 * * 1、Windows为了保护进程而不允许进程之间的访问。 2、使用API Hook 给目标进程设置一个特定消息Hook，在发生这种消息的时候就会自动调用Hook函数。 3、Hook函数只能存在与DLL中，因为只有DLL可以“大家一起用”。 4、当Hook函数被调用时，它所在的DLL也一起映射进入了目标进程。 5、如果我们在DLL中修改了某些系统API，系统就会自动的调用我们自己定义的API，实现既定的功能。 * * WinAPI WINMAIN(…){ … SetDIPSHook … } SetDIPSHook{ SetWindowsHookEx(…) } …… Call ReadFile; …… GetMsgProc(){ } 1 目标进程载入DLPSLIB.dll (寄生程序) 同时修改ReadFile跳转到NewReadFile DLPSLIB.dll DLPSLIB.dll 2 3 共享内存 6 SimpleDIP.exe 目标进程 设定要 将GetMsgProc() 注射进