下面就说说API Hook的原理、实现以及自己的分析和实际运用中的问题。
   

一、什么是API Hook

    见下图所示，API Hook就是对API的正常调用起一个拦截或中间层的作用，这样可以
在调用正常的API之前得到控制权，执行自己的代码。其中Module指映射到内存中的可执
行文件或DLL。

      module0    module1
|      |
CALL module1!API001 --------------------------------->| API001
|<-------------------------------------------|
|      |
  API215 |<----------------------------------CALL module0!API215
|------------------------------------------->|
|      |
*      *
      vs.

      module0    Hooooks.dll    module1
|        |      |
CALL module1!API001 -------->API001>----------------->| API001
|<----------------- |        |      |
  API215 |<----------------- |------------------>HOOOOK>----------------->|
|        |      |
*        *      *


二、API Hook的原理
   
    这里的API既包括传统的Win32 APIs，也包括任何Module输出的函数调用。熟悉PE文件格
式的朋友都知道，PE文件将对外部Module输出函数的调用信息保存在输入表中，即.idata段。
下面首先介绍本段的结构。
    输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接
进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL，可以由此计算出该数组的项数。
例如，某个PE文件从两个DLL中引入函数，就存在两个IID结构来描述这些DLL文件，并在两个
IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下：

IMAGE_IMPORT_DESCRIPTOR struct
union{
DWORD Characteristics; ;00h
DWORD OriginalFirstThunk;
};
TimeDateStamp DWORD ;04h
ForwarderChain DWORD ;08h
Name DWORD ;0Ch
FirstThunk DWORD ;10h
IMAGE_IMPROT_DESCRIPTOR ends

typedef struct _IMAGE_THUNK_DATA{
union{
PBYTE ForwarderString;
PDWORD Functions;
DWORD Ordinal;
PIMAGE_IMPORT_BY_NAME AddressOfData;
}u1;
}

IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息：
IMAGE_IMPORT_BY_NAME struct
Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号
Name BYTE ? ;输入函数的函数名，以NULL结尾的ASCII字符串
IMAGE_IMPORT_BY_NAME ends

OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA（相对于PE文件
起始处）。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。
TimeDateStamp:一个32位的时间标志，可以忽略。
ForwarderChain:正向链接索引，一般为0。当程序引用一个DLL中的API，而这个API又引用别的
DLL的API时使用。
NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址，如"KERNEL32.DLL"。
FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针，它就是该功能在
DLL中的序号。
OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA，但名称不同，
分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。
IMAGE_THUNK_DATA结构是个双字，在不同时刻有不同的含义，当双字最高位为1时，表示函数以
序号输入，低位就是函数序号。当双字最高位为0时，表示函数以字符串类型的函数名
方式输入，这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。
三个结构关系如下图：

IMAGE_IMPORT_DESCRIPTOR          INT          IMAGE_IMPORT_BY_NAME    IAT
--------------------    /-->----------------    ----------    ---------------- <--\
| OriginalFirstThunk |--/  |IMAGE_THUNK_DATA|-->|01| 函数1 |<--|IMAGE_THUNK_DATA|  |
|--------------------|      |----------------|  |----------|  |----------------|  |
|    TimeDateStamp  |      |IMAGE_THUNK_DATA|-->|02| 函数2 |<--|IMAGE_THUNK_DATA|  |
|--------------------|      |----------------|  |----------|  |----------------|  |
|    ForwarderChain  |      |      ...      |-->| n|  ...  |<--|      ...      |  |
|--------------------|      ----------------    ----------    ----------------    |
|        Name        |------>"USER32.dll"                                            |
|--------------------|                                                              |
|      FirstThunk    |---------------------------------------------------------------/
--------------------

    在PE文件中对DLL输出函数的调用，主要以这种形式出现：
call dword ptr[xxxxxxxx] 或
jmp [xxxxxxxx]
其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址，[xxxxxxxx]取值为IMAGE_THUNK_DATA
的值，即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中，通过IID中的Name加载相应
的DLL，然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息，在DLL中确定函数地址，
然后将函数地址写到IAT中，此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的
就是真正的API地址。
    从以上分析可以看出，要拦截API的调用，可以通过改写IAT来实现，将自己函数的地址写到IAT中，
达到拦截目的。

    另外一种方法的原理更简单，也更直接。我们不是要拦截吗，先在内存中定位要拦截的API的地址，
然后改写代码的前几个字节为 jmp xxxxxxxx，其中xxxxxxxx为我们的API的地址。这样对欲拦截API的
调用实际上就跳转到了咱们的API调用去了，完成了拦截。不拦截时，再改写回来就是了。


三、实现前的准备

    两种拦截方法，最终目的都是使程序对欲拦截API的调用跳转到自己的API。所以我们的API代码对
欲拦截进程必须是可见的，即我们的代码要映射到欲拦截进程的地址空间中。

    在《隐藏进程》一文中我介绍了远程线程注入代码的技术，这里我们可以采用这种方法向欲拦截进
程中注入我们的API代码。同样有两种注入方式，一种是，直接将代码WriteProcessMemory到欲拦截进
程中，写入的代码包括我们的API代码和远程线程的入口函数代码。这种的缺点是有一些细节问题要解
决，如参数传递、写入代码大小的确定等并且由于多了一个远程线程效率不是很高，如果要拦截所有的
进程，即必须在每个进程中注入代码、插入线程。另一种是，注入DLL，远程线程入口函数为LoadLirary，
当然也存在效率的问题，但免去了一些麻烦。

    这里我们主要介绍通过设置钩子(Hook)来自动注入DLL到欲拦截进程。先简单说明一下钩子是怎么回事。

    Hook指出了系统消息处理机制。利

好惭愧啊，看不明白

这么复杂啊
怎么什么都看不懂啊～～

事实上上面的文章把api hook的原理讲得差不多了。
但是要做一个实用的api hook还有很多工作要做。
1.对于很多api我们不能只拦截就了事。还在进行各种操作之后，要掉用原api函数，对于这中inline hook那还是要东很多脑筋的。
2.对于很多api你不能只修改前6个字节，否则会将一条指令拆分成两半。一般来说，至少要用个长度反汇编库，来测试指令长度，应该保存>=6长度的所有完整指令。
3.其实api hook的最大难度是你注入，修改的时候，几乎所有的主动防御软件都会报！！！！
特别是像ZA，卡7这些比较bt的！

Quote:

引用第3楼carwin于2007-12-11 10:32发表的  :
事实上上面的文章把api hook的原理讲得差不多了。
但是要做一个实用的api hook还有很多工作要做。
1.对于很多api我们不能只拦截就了事。还在进行各种操作之后，要掉用原api函数，对于这中inline hook那还是要东很多脑筋的。
2.对于很多api你不能只修改前6个字节，否则会将一条指令拆分成两半。一般来说，至少要用个长度反汇编库，来测试指令长度，应该保存>=6长度的所有完整指令。
3.其实api hook的最大难度是你注入，修改的时候，几乎所有的主动防御软件都会报！！！！
.......

首先要对windows的可执行文件格式--pe格式深入了解。