API Hook

两种方法：

一、覆盖代码

1. 找到要拦截的函数地址

2. 保存起始的几个字节

3. 使用JUMP命令覆盖这几个字节，跳转到替代函数地址

4. 执行替代函数

5. 用第2步保存的字节恢复函数开始的几个字节

6. 正常调用被拦截函数

7. 再次循环2,3步调用替代函数

这种方法对于x86，x64，IA-64要分别编程，因为CPU JUMP指令不同。另外在抢占式的多线程环境中，不能工作，因为一个线程在覆盖地址时，另一个线程可能会调用同一个函数，导致灾难后果。

二、修改模块导入段（IAT表）

首先调用ImageDirectoryEntryToData，设置参数IMAGE_DIRECTORY_ENTRY获得导入段IMAGE_IMPORT_DESCRIPTOR

循环查找name属性是否和要hook的dll名称相同

如果相同，则获得其FirstThunk成员，循环查找成员的Function名称，如果是要hook的函数，则调用WriteProcessMemory替换为我们的函数

此方法需要对loadlibrary相关函数做处理，因为有可能hook后，程序又调用loadlibrary加载新dll，导致新dll中的没有被拦截

参考：windows核心编程