APIHook直是使大家感兴趣话题屏幕取词内码转化屏幕翻译中文平台等等都涉及到了此项技术有很多文章涉及到了这项技术但都闪烁其词不肯明明白白公布我仅在这里公布以下我用Delphi制作APIHook些心得体会
       通常APIHOOK有这样几种思路方法:
      1、自己写个动态链接库里面定义自己写想取代系统API把这个动态链接库映射到2G以上系统动态链接库所在空间把系统动态链接库中该API指向修改指向自己这种思路方法好处就是可以取代系统中运行全部该API但他有个局限就是只适用于Win9x(原因是NT中动态链接库不是共享每个进程都有自己份动态链接库在内存中映射)
      2、自己写个动态链接库里面定义自己写得象替代系统API把这个动态链接库映射到进程空间里将该进程对API指向自己写动态链接库这种思路方法好处是可以选择性替代哪个进程API而且适用于所有Windows操作系统
      这里我选用是第 2种思路方法
      第 2种思路方法需要先了解点PE文件格式知识
       首先是个实模式DOS文件头是为了保持和DOS兼容
       接着是个DOS代理模块你在纯DOS先运行Win32可执行文件看看是不是也执行了只是显示是行信息大意是说该Windows不能在DOS实模式下运行
       然后才是真正意义上Windows可执行文件文件头它具体位置不是每次都固定是由文件偏移$3C决定我们要用到就是它
       如果我们在中了个MessageBoxA那么它实现过程是这样他先在本进程中MessageBoxA然后才跳到动态链接库MessageBoxA入口点即:
       call messageBoxA(0040106c)
       jmp dword ptr [_jmp_MessageBoxA@16(00425294)]
其中00425294内容存储就是就是MessageBoxA入口地址如果我们做下手脚那么......
      那就开始吧！
我们需要定义两个结构
type
   PImage_Import_Entry = ^Image_Import_Entry;
   Image_Import_Entry = record
      Characteristics: DWORD;
      TimeDateStamp: DWORD;
      MajorVersion: Word;
      MinorVersion: Word;
      Name: DWORD;
      LookupTable: DWORD;
   end;
type
   TImportCode = packed record
      JumpInstruction: Word; file: //定义跳转指令jmp
      AddressOfPoerToFunction: ^Poer; file: //定义要跳转到
   end;
   PImportCode = ^TImportCode;
然后是确定地址
function LocateFunctionAddress(Code: Poer): Poer;
var
   func: PImportCode;
begin
   Result := Code;
   Code = nil then exit;
   try
      func := code;
      (func.JumpInstruction = $25FF) then
      begin
         Result := func.AddressOfPoerToFunction^;
      end;
   except
      Result := nil;
   end;
end;
参数Code是在进程中指针即那条Jmp XXX指令$25FF就是跳转指令机器码