180921（计算器中显示字）

通过DLL注入实现IAT钩取的技术。较为好实现，但是如果目标API不在目标进程IAT中，就无法使用该技术.(动态加载dll=凉凉)

为了确认需要钩取的API，可以使用PEView查看导入的API，然后对API进行文档查询.

查询发现计算器的SetWIndowTextW()、SetDlgItemTextW()比较引人注目（？？？），而后者又调用了前者，所以我们假设只要钩取前者就ＯＫ．

（ＡＰＩ后面跟的是Ｗ就是说是宽字符（Ｗｉｄｅ　character）版本．若后面跟的是Ａ则是ＡＳＣＩＩ码字符版本。宽字符说的是Ｕｎｉｃｏｄｅ码。）

跟着流程查看栈窗口。

覆写时要逆序进行。每个Ｕｎｉｃｏｄｅ中的汉字占２个字节

程序开始时，ＰＥ装载器会将ｕｓｅｒ３２．ＳｅｔＷｉｎｄｏｗＴｅｘｔＷ（）ＡＰＩ地址记录到该地址（０１００１１１０），该地址是ＩＡＴ区域。

而我们钩取ＩＡＴ过后，将ＩＡＴ保存的ＡＰＩ起始地址变为用户函数的起始地址。

像这样，先向目标进程注入用户ＤＬＬ，然后在进程的ＩＡＴ区域中更改４个字节大小的地址，就可以轻松钩取指定ＡＰＩ。这种技术也称为ＩＡＴ钩取技术。

练习实例

诶这次居然成了　舒服

．．．下载下来的是原版　难免　难免．

在实际操作中，必须先确定提供ＡＰＩ的ＤＬＬ已经正常加载到相应进程，如果相应ＡＰＩ在钩取前尚未被加载，则应该先调用ＬｏａｄＬｉｂｒａｒｙ（）ＡＰＩ加载它。

把数字和中文进行１：１的对应可以不加任何修改地使用原缓冲区。

在IAT中查找到user23.dll对应的IID后，在IAT中查找SetWindowTextW API的位置，然后修改其中内容，从而实现对API的钩取。
MySetWindowTextW（）函数主要有2个功能，它首先将阿拉伯数字转换为中文数字（字符串），然后调用原来的user32.SetWindowTextW()API。

隐藏进程
全局钩取（Global Hooking），能钩取所有进程。
修改API代码（Code Patch）实现API钩取。