[半原创]应用层APIHook检测工具(已更新最大化窗口)

苏紫方璇

首先解释“半原创”，核心代码出自某大神的GitHub，我修改了一些代码，修复了一些bug（不排除有漏掉的和新引入的），做了界面。

工具功能：
检测进程中的IATHook(导入表钩子)、EATHook(导出表钩子)、InlineHook(内联钩子)。


使用方法：
1、以各种方法打开程序。
2、点选进程
3、点击检测
4、等待程序卡完(没做多线程)
5、查看结果


注意事项：
1、本程序不可以检测64位进程。
2、仅可检测应用层的钩子，内核层不可以。
2、程序有检测标题，请勿修改。
3、本程序在WinXP、Win7 x64、Win10 x64测试可用，如遇到程序崩溃，可在本贴下方回复。
4、没想好

ps：为什么上面有两个2，我也不知道，他这代码我调了一天，现在整个人都感觉萌萌哒。
ps2：我才不会说我做这个是想偷某dll的思路



惯例上图：



下载链接：
土豪通道：
APIHook扫描工具.7z (1.57 MB, 下载次数: 306)

2018-6-4 21:20 上传

点击文件名下载附件

云盘链接：
链接: https://pan.baidu.com/s/1ZiZ0GeJX7h1Bu9kRm_jP3w 密码: 2585

解压密码：52pojie

晓我琴宝贝

苏紫方璇 发表于 2018-8-24 20:24
299错误MSDN的解释是仅完成一部分的Read/WriteProcessMemory。一般是权限问题，我发现在win7以上的系统， ...

感谢版主指点，每次0x1000读取是可以都出来，自己又看了很久，发现Kernel32的区段都有读取权限，主要是区段的VirtualSize < SizeOfRawData，但是SectionAlignment对齐值为0x10000，对齐后VirtualSize > SizeOfRawData，但是和我以前的理解有点不同的是，以前的理解是如果VirtualSize对齐后大于了SizeOfRawData后就从PointerToRawData读取加载SizeOfRawData的大小的字节，区段其他剩余的部分填充0。但是Kernel32这个是区段其他的部分直接不存在内存中。这个具体是什么原因还是不清楚。我可能对VirtualSize对齐后和SizeOfRawData大小关系之间 还是存在误解

苏紫方璇

晓我琴宝贝 发表于 2018-8-24 16:57
请教一下版主，自己也试着在写HOOK检测工具，但是读取Kernel32.dll这种模块的时候一直返回299错误，分段读 ...

299错误MSDN的解释是仅完成一部分的Read/WriteProcessMemory。一般是权限问题，我发现在win7以上的系统，ntdll这类dll内存区段中权限不同，一次性获取可能会遇到没有读取权限而无权访问。我的解决方法是以0x1000为单位分小块进行读取，读取不成功则用VirtualProtectEx调整权限再次读取。读取完毕再改回原权限。

快乐王子

你的分享太需要了，谢谢

diudu20

收下了，感谢

初音ミク

谢谢楼主

1459321512

谢谢分享啊

zhanglk

学习一下，谢谢分享

魔弑神

嘻嘻 厉害了
如果可以修改它HOOK那就更好了 专搞反调试

xiaobai

很好的工具

你与明日

这函数名   我有点慌。。。

我住你家隔壁

谢谢了，楼主厉害