http://blog.csdn.net/v6543210/article/details/44276155 EasyHook远程进程注入并hook api的实的示例。

套筒钩 该应用程序允许用户将任何调用重定向到任何进程的Windows API ，以便将其连接重定向到配置的本地端口。 开始吧 该挂钩原本是由REST API控制的，因此，任何类型的应用程序都可以“插入”该挂钩并发送注入指令。 制作了一个使用.NET Core 3.1和通用托管API的WPF应用程序，以展示该体系结构的潜力，您可以查看代码或。 可以使用常规CLI参数或使用应用程序工作目录上的json配置文件（或同时使用两者）来启动API。 这是json配置文件的两个示例： { " InjectToExe " : " C: \\ Users \\ User \\ Desktop \\

目前最好的EasyHook的完整Demo程序，包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制，以后对函数下钩子，只需要填下数组表格就能实现了，极大的方便了今后的使用。 Inject.exe是用MFC写的界面程序，只需要在界面上输入进程ID就能正确的HOOK上相应的进程，操作起来非常的简便。 这个Demo的代码风格也非常的好，用VS2010成功稳定编译通过，非常值得下载使用。 部分代码片段摘录如下： //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModuleName) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModuleName, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }

EasyHook 2.6 Binaries //我从官网下载的 包含文档，源码 官网:http://easyhook.codeplex.com/releases/view/24401

EasyHook 让系统计算器显示文字 EasyHook 让系统计算器显示文字 EasyHook 让系统计算器显示文字

EasyHook makes it possible to extend (via hooking) unmanaged code APIs with pure managed functions, from within a fully managed environment on 32- or 64-bit Windows XP SP2, Windows Vista x64, Windows Server 2008 x64, Windows 7, Windows 8.1, and Windows 10. EasyHook supports injecting assemblies built for .NET Framework 3.5 / 4.0+ as well as native DLLs.

EasyHook的使用教程网上几乎没有，找了好久最后只好自己爬官网了，本教程包含两部份示例源码，收集来源官方网站。

C#EasyHook使用demo，拦截其它程序方法的神器，向其它程序注入自己的代码。。。dll程序集需要签名，否则会注入失败。

CEF使用PPAPI FLASH 插件(pepflashplayer.dll), 首次加载含有flash 页面时 会闪现弹出CMD 命令行黑窗口, 后经过排查 此窗口应该是 flash 插件中的BUG 倒至, 在没有更好的解决办法之前,我们暂时可以用 进程HOOK 的方式 拦截弹出的窗口, 通过特征符查找 dll 中找到 not sandboxed 字符 , 即可以通过匹配 这个特征符进行拦截. 在程序启动时调用 InitHook() 即可.

easyhook的简单使用方法，含源码解释，简单明了