使用AppInit_DLLs加载DLL进行API Hook

例子是由CodeProject下载,利用API Hook技术,拦截替换了系统NtQuerySystemInformation函数,在替换的函数中将Windows系统计算器进程calc.exe过滤,当我们打开任务管理器或者一些使用NtQuerySystemInformation来获取系统进程信息的工具时,无法看到calc.exe进程。该例中还包含了一个强大的mHook工具类。

工程编译后的DLL文件添加到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows项下的AppInit_DLLs键中。此后启动任何使用了User32.dll的程序均会加载该DLL。
注意:如果是64位系统,那么DLL文件需要编译为64位才可以正常使用。

重点代码如下:

效果图:

2014-10-30_135452

2014-10-30_135503

点击下载:AppInitHook

发表评论

电子邮件地址不会被公开。 必填项已用*标注