剪贴板挂钩 在操作系统本机剪贴板事件（例如，复制/剪切/粘贴）上添加挂钩机制。 用法 <!DOCTYPE html > < html > < head > < style > # container . black { background-color : black; color : white; } # container . red { background-color : red; color : white; } # container . blue { background-color : blue; color : white; } # container . yellow { background-color : yellow; color : black; } </ style > </ head > < body > < ul id

WinAPIOverride32 5.1.5版本的源代码，研究进程注入、API Hook、Com Hook的最佳阅读范本。

一、简介 　　AheadLib 是用来生成一个特洛伊DLL的工具，用于分析DLL中的函数参数调用（比如记录Socket send了什么等等）、更改函数功能（随心所欲了：）、更改界面功能（比如在Hook里面生成一个按钮，截获事件等等）。 二、使用 　　1.用 AheadLib 打开要模拟的 DLL，生成一个 CPP 文件。 　　2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程，把这个 CPP 文件加入到项目中。 　　3.使用 Release 方式编译，生成的 DLL 将和原来的 DLL 具有一模一样的导出函数，并且能顺利把这些函数转发到原来的函数中。 　　4.AheadLib 还可以生成 Hook 代码，用于截取当前进程的所有消息，这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。 三、备注 　　1.如果导出函数过多，在 Visual Studio 6.0 中，如果出现编译错误，请在项目属性关闭与编译头功能。 　　2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话，生成的函数声明将会还原成原代码级别（可能需要修改才能编译，比如导出C++类的情况）。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。 　　3.如果是 NONAME 或者 C _CDECL 方式导出（比如 DEF 导出，大多数Windows DLL都是这种情况，比如WS2_32等等），则使用#pragma comment(linker, "/EXPORT:...)导出，且指定导出序号。 　　4.如果系统中没有 DbgHelp.dll，将无法识别 C++ 模式的导出。

DetourHook demo 带lib vs2013 正常运行 DetourHook demo 带lib vs2013 正常运行

目前最好的EasyHook的完整Demo程序，包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制，以后对函数下钩子，只需要填下数组表格就能实现了，极大的方便了今后的使用。 Inject.exe是用MFC写的界面程序，只需要在界面上输入进程ID就能正确的HOOK上相应的进程，操作起来非常的简便。 这个Demo的代码风格也非常的好，用VS2010成功稳定编译通过，非常值得下载使用。 部分代码片段摘录如下： //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModuleName) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModuleName, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }

微信pc hook,可以导出群成员列表，可以发送信息。不过微信版本比较低，2.3.0.39.万一不能运行，请使用管理员运行vs。win10上vs2017测试通过

之前被人用一个程序整过，大致恶搞内容是屏幕上下左右不停的晃动，最后停下来，期间任何按键无效，于是自己摸索着写了一个

E语言编写的微信Hook源代码，本地测试可以正常进行使用，价值1500

全局键盘鼠标钩子,适用于VB.NET,可用VS进行测试，内附源码测试，有了这个应该可以学习钩子的建立，以及在主程序的调用

当你在网络上抓到一些数据包，想知道这些包是哪个进程发出来的时候， 怎么办？这个小工具也许能帮一些忙。