软件在hook环境下运行是怎么回事

在hook环境下运行的原理及解决方法如启镇下：

原理：Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制，中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后，一知旁仔旦发生已hook事件，对该事件进行hook的程序就会收到系统的通知，搭汪这时程序就能在第一时间对该事件做出响应。

解决方法：直接搜索apk isGooglePlayServicesAvailable这个函数，使其返回结果为O即可，然而此时手机若没有谷歌框架，apk可以正常运行。

这个程序的原版大家自己找，名字就叫做API拦截教程。启动该程序后，按下拦截createprocess的按钮后，运行任何程序都会d出运行程序的路径。稍微了解apihook的都了解，通常ring3下hookapi的办法有三种，一是修改程序的iat表，使api调用跳向自己的函数而不是转向api入口。二是修改api入口的机器码。三是用创建远线程CreateRemoteThread的办法来完成。那么这个教程究竟用了什么先进手法呢？ 先运行一次，按下按钮后，果然explorerd出了程序的路径。此时，你如果使用icesword类的可以查看程序模块的程序查看explorer的模块，你就会发现explorer里面多了个InterceptDll.dll的模块，当我们卸载了这个dll后，这个拦截的效果就没有了。看来这个程序的核心不是那个启动的程序，而是这个dll。现在让我们看看这个InterceptDll.dll到底做了什么。 先使用VC++的工具DUMPBIN将DLL中的导出函数表导出到一定义(.DEF)文件 DUMPBIN InterceptDll.dll /EXPROTS /OUT:InterceptDll.def ordinal hint RVA name 1 0 00001230 InstallHook 2 1 00001270 UninstallHook 只有两个导出函数，看名字就知道，一个是安装钩子，一个卸载钩子。我们调用看看 ，结果连参数都不用，只要调用InstallHook就可以把InterceptDll.dll插入explorer，用UninstallHook就可以卸载钩子。看来我们不用分析他的exe文件了，因为有用的东西就在这个dll里。那么如何分析这个dll这么工作的呢？直接用ida看静态代码，可以看见dll里有vivirtualalloc,setwindowshookexa等钩子函数。但是，里面乜嘢CreateRemoteThread这个函数，那么基本可以排除了第三种方法了。修改iat或者字节数的可能性比较大一些。那么具体究竟是用了什么手段，又是怎么实现的呢？光静态看源代码看出来，我可兄前没那种本事。如果说要实时调试explorer又非常的麻烦，那么怎么办呢？其实办法很简单啦，只要自己修改一颂尘激个exe文件名让他跟explorer同名就可以了。这家伙可不管你是真李逵还是假李鬼，统统都插！我先写了个很简单的exe程序，只有一个按钮直接掉用createprocess启动notepad的小程序，然后改名为explorer。运行后让程序拦截，果然再用icesword看模块，那个InterceptDll.dll偷偷野袜的钻进了我写的这个程序。 好，现在动手钻进InterceptDll.dll的内部，看看他到底干了什么！我用的是olldbg，其实windbg也可以，我用od习惯了。先附加到我自己写的这个小explorer程序，然后在createprocess下断点，按下启动notepad的按钮，断下以后，一步一步跟踪。转载仅供参考，版权属于原作者。祝你愉快，满意请采纳哦

---