记事本writefile API钩取《逆向工程核心原理》

文章目录

• 实验目的
• 一、获取PID
• 二、运行hookdbg.exe
• 三、关闭notepad
• 四、IAT钩取--让计算器显示中文数字

钩取（Hooking）是一种更改程序流向，以获取程序运行时的信息或使程序具备新功能的技术。

API（Application Programming Interface，应用程序 编程 接口）

PID（Process Identification）操作系统里指进程识别号，也就是进程标识符。
操作系统里每打开一个程序都会创建一个进程ID，即PID。

实验目的

示例钩取Notepad.exe的WriteFile() API，保存文件时操作输入参数，将小写字母全部转换为大写字母。

也就是说，在Notepad中保存文件内容时，其中输入的所有小写字母都会先被转换为大写字母，然后再保存。

一、获取PID

在任务管理器----》详细信息，里面也可以看到PID

二、运行hookdbg.exe

注意：
不要在输入完hookdbg.exe和PID后就按回车，等到最后保存完再按回车！

完成输入后，保存输入的文本内容。

保存文件后，notepad界面中不会有任何变化(请注意前面只是钩取了WriteFile() API)。

三、关闭notepad

关闭notepad，查看hookdbg程序的控制台窗口，如图所示。

四、IAT钩取–让计算器显示中文数字

API 钩取相关介绍

IAT钩取 之 让计算器显示中文数字