C++ 用户层下的用Push+Ret API HOOK

最新推荐文章于 2022-07-21 17:53:34 发布
最新推荐文章于 2022-07-21 17:53:34 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: C++
说道API HOOK ,这已经是老掉牙的技术了,但是它的实用性却是不能忽视的。虽然在网上这类的文章很多,但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行,但是不通用,因为一些特殊函数的前5字节不是完整的,如果直接修改,就会截断指令,导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子,感觉想法很好,于是自己也写了一个。其中用到了一个头文件LDasm.h(里面实际就是一个轻量级的反汇编引擎,网上可以下载到)。

第一个函数用于对指定API进行HOOK,并返回一个进入原函数的代理函数地址。


代码
PVOID HookFunction(PCHAR ModuleName,PCHAR FunctionName,PVOID pNewFunction)
{

    UCHAR JumpCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3};     //push xxxxxxxx ret
     UCHAR JumpBackCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3}; //push xxxxxxxx ret
     
    PVOID pSourceFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
    if (!pSourceFunction)return NULL;

    *(ULONG *)((ULONG)JumpCode + 1) = (ULONG)pNewFunction;


    PVOID pProxyFunction = 0;
    PUCHAR pOpCode;
    ULONG BackupLength = 0;

    
    while (BackupLength < 6)
    {
        BackupLength += SizeOfCode((PVOID)((ULONG)pSourceFunction + BackupLength),&pOpCode);
    }


    pProxyFunction = VirtualAlloc(NULL,BackupLength + 6,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);
    if (!pProxyFunction)return NULL;

    *(ULONG *)((ULONG)JumpBackCode + 1) = (ULONG)pSourceFunction + BackupLength;
    
    RtlCopyMemory(pProxyFunction,pSourceFunction,BackupLength);
    RtlCopyMemory((PVOID)((ULONG)pProxyFunction + BackupLength),JumpBackCode,6);

    FlushInstructionCache((HANDLE)-1,pProxyFunction,BackupLength + 6);

    DWORD OldProtect = 0;
    VirtualProtect(pSourceFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);

    RtlCopyMemory(pSourceFunction,JumpCode,6);

    VirtualProtect(pSourceFunction,6,OldProtect,&OldProtect);

    FlushInstructionCache((HANDLE)-1,pSourceFunction,6);

    return pProxyFunction;


}

注意,在JumpCode和JumpBackCode中,我使用的是push+ret的方式进行跳转(跟网上一牛人学的),其目的是不用计算相对偏移,也不容易被一些安全工具发现。其中还有一个重要的函数——SizeOfCode(),它就是反汇编引擎里的一个函数,用于计算一个完整指令的长度,防止指令被截断,它是实现通用性的关键。LDasm.h和LDasm.c可以去网上下载,如果你是用的vc6.0以后版本,可以把LDasm.c改名为LDasm.cpp,然后把文件加入到工程,直接编译可成功. 第二个函数用于恢复被HOOK的函数,它需要HookFunction函数返回的代理函数地址作为参数。 
代码
PVOID HookFunction(PCHAR ModuleName,PCHAR FunctionName,PVOID pNewFunction)
{

    UCHAR JumpCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3};     //push xxxxxxxx ret
     UCHAR JumpBackCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3}; //push xxxxxxxx ret
     
    PVOID pSourceFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
    if (!pSourceFunction)return NULL;

    *(ULONG *)((ULONG)JumpCode + 1) = (ULONG)pNewFunction;


    PVOID pProxyFunction = 0;
    PUCHAR pOpCode;
    ULONG BackupLength = 0;

    
    while (BackupLength < 6)
    {
        BackupLength += SizeOfCode((PVOID)((ULONG)pSourceFunction + BackupLength),&pOpCode);
    }


    pProxyFunction = VirtualAlloc(NULL,BackupLength + 6,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);
    if (!pProxyFunction)return NULL;

    *(ULONG *)((ULONG)JumpBackCode + 1) = (ULONG)pSourceFunction + BackupLength;
    
    RtlCopyMemory(pProxyFunction,pSourceFunction,BackupLength);
    RtlCopyMemory((PVOID)((ULONG)pProxyFunction + BackupLength),JumpBackCode,6);

    FlushInstructionCache((HANDLE)-1,pProxyFunction,BackupLength + 6);

    DWORD OldProtect = 0;
    VirtualProtect(pSourceFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);

    RtlCopyMemory(pSourceFunction,JumpCode,6);

    VirtualProtect(pSourceFunction,6,OldProtect,&OldProtect);

    FlushInstructionCache((HANDLE)-1,pSourceFunction,6);

    return pProxyFunction;


}


 

 

代码
BOOL UnHookFunction(PCHAR ModuleName,PCHAR FunctionName,PVOID pProxyFunction)
{

    PVOID pSourceFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
    if (!pSourceFunction)return FALSE;
    
    DWORD OldProtect = 0;
    VirtualProtect(pSourceFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);

    RtlCopyMemory(pSourceFunction,pProxyFunction,6);

    VirtualProtect(pSourceFunction,6,OldProtect,&OldProtect);

    FlushInstructionCache((HANDLE)-1,pSourceFunction,6);

    BOOL res = VirtualFree(pProxyFunction,NULL,MEM_RELEASE);
    if (!res)return FALSE;

    return TRUE;

}


这个函数很简单,只是做一些清理工作。

最后,我还写了个函数用于检查某个函数是否被HOOK,但只能检查出两种形式的HOOK,一种jmp形式,一种push+ret形式,不过也够用了。

代码
BOOL IsFuncHooked(PCHAR ModuleName,PCHAR FunctionName)
{
    PVOID pFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
    
    if (!pFunction)return FALSE;

    DWORD OldProtect = 0;
    VirtualProtect(pFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);

    UCHAR chas = *(UCHAR *)((ULONG)pFunction + 5);

    if (((*(UCHAR *)pFunction == 0x68)&&(*(UCHAR *)((ULONG)pFunction + 5) == 0xC3))||(*(UCHAR *)pFunction == 0xEB)||(*(UCHAR *)pFunction == 0xEA))
    {
        VirtualProtect(pFunction,6,OldProtect,&OldProtect);
        return TRUE;
    }
    else
    {
        VirtualProtect(pFunction,6,OldProtect,&OldProtect);
        return FALSE;
    }
    
}


 

clubthree
关注
专栏目录
一个关于push ret HOOK的问题随记一下。
创造神话,实现梦想!
02-11 2581
在学习内核HOOK的问题,发现自已的基础就是XX,记录一下! 曾经的问题: //加入pushad 及popad 这样会不会影响到JMP地址各个寄存器, //因为以上代码和JMP到的地址代码为同一个函数。会吗? //以上汇编代码处理后蓝屏,应该是堆栈不平问题。 问题:如何保证破坏后堆栈平衡?   //正常 lkd> u ObCheckObjectAccess l10 nt!ObCh
一个win32下的api hook方案
FreeWave's space
09-04 914
api hook还是挺常用的, 成熟的方案有微软自己的,  支持32位Detours。  还有支持32位、64位的开源库MHook。     按照MHookapi, 自己仿造了一个简化的, 用作学习。   只支持32位的, 要改成64位的话, 要对shellcode进行改写。 思路: 改写函数前面的机器码, 跳转到自己的函数。 要调用原函数时, 先写回原来函数的机器码, 再调用原函数, 调用
hook openprocess
05-26
好东西,hook openprocess ring0级
hook api (push xxxx/retn)
fanpeii的专栏
02-01 793
hook api (push xxxx/retn)
C++ API HOOK (OpenProcess)
資料為我做事
03-09 1397
#include &lt;windows.h&gt;#include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD dwCurrentProcessId=0;#pragma data_seg()HANDLE ...
【Android 逆向】x86 汇编 ( push / pop 入栈 / 出栈 指令 | ret / retn 函数调用返回指令 | set 设置目标值指令 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-12 1930
一、push / pop 入栈 / 出栈 指令、 二、ret / retn 函数调用返回指令、 三、set 设置目标值指令、 总结、
C++一行代码实现任意系统函数Hook
QcloudCommunity的博客
07-21 1509
导语|一句话实现系统APIHook,参数记录以及数据过滤与修改,关注敏感数据本身而不是哪个API的哪个参数可能有敏感的需要处理的信息,写工具的时候想到上述能力可以借助模板实现,赶紧尝试了一下,也做个笔记分享供大家学习。一、AnyCall(一)背景一般来说所有ApiHook库都会需要提供一个与被HookApi相似/相同的Myxxx函数以实现参数访问,这里以BlackB...
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
本文将深入探讨64位和32位环境下如何使用C语言以及C++类实现Inline Hook,并提供相关示例。 首先,我们来理解什么是Inline Hook。通常,函数调用会通过跳转到函数地址执行,而Inline Hook是将这个跳转替换为一个...
用户层下API的逆向分析及重构
hongduilanjun的博客
03-10 958
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
最新零基础C++逆向辅助+过驱动保护+lua
zygx8_com的博客
04-03 5787
最新零基础C++逆向辅助+过驱动保护+lua
进程防杀 Hook OpenProcess
03-25
进程防杀 Hook OpenProcess 支持xp,server2003,不支持NT2000
利用hook OpenProcess实现进程防杀的DLL源码
08-06
hook openprocess 实现进程防杀的DLL源码
LDasm.h LDasm.C
12-16
LDasm.h LDasm.C LDasm.h LDasm.C
windows下面hook系统api实现禁止任务管理器关闭程序
nanjun520的专栏
07-28 7581
为了保护我们的进程不被人随便强制关闭,我们需要一种机制来实现,网上大概有几种方式:1.写一个驱动程序,在驱动程序里面hook系统的api来实现,例如ssdt方式,等等。2.就是在应用层挂钩系统api,这种方式也就远程注入,全局钩子啊等等,只是网上也有很多,不过很多在xp上是正常的到了win7 64就失效了。还有最简单的就是启动两个进程相互监视对方,(这个可能看起来不专业)。 网上方法很多,我写这个
Hook Windows API调用 C++
MusicMan
05-06 1385
// dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "pch.h" //old data typedef BOOL(WINAPI *pProcessInternalW)(HANDLE hToken, LPCWSTR AppName, LPWSTR CmdLine, LPSECURITY_ATTRIBUTES ProcessAttr, LPSECURITY_A...
git pre-push hook
weixin_30721899的博客
04-24 582
This article introduces git pre-pushhook. Problem InLeanproject, we use amodified versionofGoogle’s C++ style checker. I want toautomaticallyrun the checker over the changed filesbeforeI p...
实现hook OpenProcess实现ring3保护进程、代码
weixin_34315485的博客
02-20 3026
/*********************************实现hook OpenProcess实现ring3保护进程、、C++完整代码、、************************************************/#include <windows.h>PIMAGE_IMPORT_BY_NAME pImportByName = N...
函数调用时call指令和ret指令
qq_42634921的博客
01-21 2203
  函数调用一般是通过call指令和ret指令相互配合使用来实现的,当函数运行到call指令时,call指令会做两件事:1,将当前的ip压入栈中;2,跳转到call指令后被调用的函数。 当被调用函数运行完毕之后,通过ret指令返回到函数中,ret指令也会做两件事:1,将之前压入栈中的ip出栈,2,跳转到ip所指向的地址,函数开始运行call指令的下一步指令。 除此之外,call指令还有以下用...
HOOK API入门篇(一)
C++ for Windows 之路
11-26 2388
Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值