什么是HOOK技术？

病毒木马为何惨遭杀软拦截？

商业软件为何频遭免费破解？

系统漏洞为何能被补丁修复？

这一切的背后到底是人性的扭曲，还是道德的沦丧，尽请收看今天的专题文章：《什么是HOOK技术？》

上面是开个玩笑，言归正传，今天来聊的话题就是安全领域一个非常重要的技术：HOOK技术。

HOOK，英文意思是“钩子”

在计算机编程中，HOOK是一种「劫持」程序原有执行流程，添加额外处理逻辑的一种技术。

按照这个定义，其实我们Python中的装饰器和Java中的注解，这种面向切面编程的手法在某种程度上来说，也算是HOOK。

不同的是，本文要探讨的HOOK并非属于程序原有的逻辑，而是在程序已经编译成可执行文件甚至已经在运行中的时候，如何劫持和修改程序的流程。

按照劫持的目标不同，常见的HOOK有以下这些类型：

Inline HOOK

IAT HOOK

C++ virtable HOOK

SEH HOOK

IDT HOOK

SSDT HOOK

IRP HOOK

TDI HOOK && NDIS HOOK

Windows Message HOOK

接下来，咱们挨个来看一下。

程序和代码是给程序员们看的，计算机要运行，最终是要编译成CPU的机器指令才能执行。

Inline HOOK的目标就是直接修改程序编译后的指令，属于最基础也最常见的HOOK技术。

下面我们以一个实例来感受一下Inline HOOK的效果：

void functionA() { cout