API Hook基本原理和实现

　　这样设置后在.cpp文件中定义的变量，如果进行了初始化，将进入“SHCLASS”共享内存段（如果不初始化，将不改变其默认段属性）。

　　上述的共享对于本示例代码并不是必须的，只是稍微演示了一下。

　　2、　　api hook修改api函数入口点地址的时机

　　很显然，我们必须通过hook进入目标进程的地址空间后，再在位于该地址空间里的hook消息处理过程里修改输入符号表“指向”的api函数入口点地址，退出hook前也必须在这个消息处理过程里恢复原来的地址。只要我们牢记修改的过程发生在目标进程的地址空间中，就不会发生访问违例的错误了。

　　示例代码使用了WH_GETMESSAGE、WH_CALLWNDPROC两中hook来演示如何hook api，但WH_GETMESSAGE实际上并没有完成具体的功能。

　　为了让初学者尽快的掌握重点，我将代码进行了简化，是一个不健壮、不灵活的演示示例。

　　3、　　函数的内外部表现形式

　　例如api函数MessageBox，这个形式是我们通常用到的，但到了dll里，它的名字很可能出现了两个形式，一个是MessageBoxA，另一个是MessageBoxW，这是因为系统需要适应Ansi和Unicode编码的两种形式，我们不在函数尾端添加“A”或“W”，是不能hook到需要的函数的。

　　4、　　辅助pe格式查看工具

　　PE Explorer是一个非常好的查看pe资源的工具，通过它可以验证自己手工计算的pe地址，可以更快的掌握pe格式。

　　调试器ollydbg也是非常好的辅助工具，例如查看输入符号表中的api函数。

　　5、　　程序文件列表