Delphi Hook API 已疯狂

作者: yangyxd   转载请注明出处 http://hi.baidu.com/yangyxd   2009-3-12
     论坛里有关于HOOK API的贴子， 但其实现在方式显示得麻烦， 其实现在拦截API一般不用那种方式， 大都采用inline Hook API方式。其实也就是直接修改了要拦截的API源码的头部，让它无条件跳转到我们自己的处理过程。
   不多说别的了，开始我们自己的Hook API吧。
   我们今天要拦截的API如下：
   MessageBoxA、MessageBoxW、MessageBeep 和 OpenProcess 。
   首先，大家都知道要在整个系统范围中拦截，需要使用Dll来完成。现在我们打开Delphi 2009，新建一个Dll工程：hookDll。需要说明的是，Delphi是完全面向对象的编程语言，所以我们不要浪费，这个Dll打算用类的方式完成。于是，在新建的DLL工程中在添加一个Unit Pas，命名为unitHook， 用来写拦截类的处理。unitHook.pas中的代码如下：
unit unitHook;
interface
uses
Windows, Messages, Classes, SysUtils;
type
//NtHook类相关类型
TNtJmpCode=packed record //8字节
MovEax:Byte;
Addr:DWORD;
JmpCode:Word;
dwReserved:Byte;
end;
TNtHookClass=class(TObject)
private
hProcess:THandle;
NewAddr:TNtJmpCode;
OldAddr:array[0..7] of Byte;
ReadOK:Boolean;
public
BaseAddr:Pointer;
constructor Create(DllName,FuncName:string;NewFunc:Pointer);
destructor Destroy; override;
procedure Hook;
procedure UnHook;
end;
implementation
//==================================================
//NtHOOK 类开始
//==================================================
constructor TNtHookClass.Create(DllName: string; FuncName: string;NewFunc:Pointer);
var
DllModule:HMODULE;
dwReserved:DWORD;
begin
//获取模块句柄
DllModule:=GetModuleHandle(PChar(DllName));
//如果得不到说明未被加载
if DllModule=0 then DllModule:=LoadLibrary(PChar(DllName));
//得到模块入口地址（基址）
BaseAddr:=Pointer(GetProcAddress(DllModule,PChar(FuncName)));
//获取当前进程句柄
hProcess:=GetCurrentProcess;
//指向新地址的指针
NewAddr.MovEax:=$B8;
NewAddr.