这篇文章写的很不错,但最后部分“PermuteFunction 的终极版本”描述的不太清楚,完全按照该文章代码执行,是不行的。需要修改mess.pas中代码才行。
其实文中提到的一个结构,代码中并没有使用
type
PIMAGE_IMPORT_DESCRIPTOR = ^
IMAGE_IMPORT_DESCRIPTOR;
IMAGE_IMPORT_DESCRIPTOR = packed record
OriginalFirstThunk : DWORD;
TimeDateStamp : DWORD;
ForwarderChain : DWORD;
Name : DWORD;
FirstThunk : DWORD;
end;
mess.pas中要修改的部分主要是
procedure API_Hookup;
begin
if @OldMessageBoxA = nil then
@OldMessageBoxA := TrueFunctionAddress(@messageboxA);
if @OldMessageBoxW = nil then
@OldMessageBoxW := TrueFunctionAddress(@messageboxW);
PermuteFunction(FuncMessageboxA.AddressOfPointerToFunction, @MyBoxA);
PermuteFunction(FuncMessageboxW.AddressOfPointerToFunction, @MyBoxW);
end;
这里应该是
PermuteFunction(@messageboxA @MyBoxA);
PermuteFunction(@messageboxA, @MyBoxW);
当然Un_API_hook部分也要做响应修改。
另外在mess.pas中声明的“FuncMessageboxA, FuncMessageboxW: PImportCode;”也是没用了。
修改后的代码,大家可以到 http://download.csdn.net/source/575736 下载。
代码里,我故意加了一个 MB_YESNO并且标题为“are you sure”的messagebox,执行的话,可以看到这个messagebox并不会弹出,而是直接显示一个showmessage('yes')或者showmessage('no')。
这样也就是说我们可以拦截第三方程序的特定messagebox,并使其产生我们预期的结果值,从而控制目标程序流程。
另外按照这种方式进行Hook,当程序退出的时候,总是会导致资源管理器异常(explorer.exe),一直困扰我,不知道该怎么解决。
有朋友知道解决办法的话,还请告知,非常感谢。