API钩取技术

DLL注入说完了下一章介绍了API钩取技术，这个技术运用范围更加广泛基本木马病毒都会用到这个。整理下这3天看的api hook相关方式。

1.调试器法:使用DebugActiveProcess函数以调试模式附加到相关进程，获取进程控制权。等待调试者发生时间，并在发生相关函数调用事件时调用处理函数。给api开始地址写上0xcc（int 3）断点，断下之后获取进程上下文，获取寄存器的值，在内存中跟随到寄存器的值（地址），修改相应的数值即可完成api hook（修改参数数值） p300

2.iAT HOOK:dll注入实现api修改，注入dll后获取dll中的你想注入的函数地址，函数调用GetModuleHandle（NULL）这个函数是再注入的dll内部运行的，但是获取的却是exe主程序的地址，这是关键。获取到exe程序地址后通过nt头找pe头，在通过pe头+0x80的长度找到输入表的开始地址，然后通过对各个函数结构体的遍历找到你想要注入的函数地址，修改它为你定义的api的地址。

3.5字节inline hook：call函数地址a，然后保存a的前5个内存数值，再修改为far jmp xxxxx跳转到我们写的api函数地址处调用，进入之后先还原5个数值防止死循环。这里的一个要注意的地方是jmp 跳转的不是绝对地址，而是你的函数地址和jmp指令之间的大小（不包括jmp的5个单位）。

7字节inline hook：第一句近跳到上面5个nop处，这5个nop处写入far jmp，然后short jmp占用2个单位，如果正好函数第一句正好是2个无意义的且上面有5个nop空间可以用既可使用这种方法，有点事不需要反复挂脱钩。