利用HOOK拦截封包原理(转载)

最新推荐文章于 2020-03-17 22:56:32 发布
最新推荐文章于 2020-03-17 22:56:32 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: 软件开发 文章标签: hook api user windows application null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiboy/article/details/340435
版权

利用HOOK拦截封包原理

  截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。
  首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明如下:
HHOOK SetWindowsHookEx(
int idHook, // hook type
HOOKPROC lpfn, // hook procedure
HINSTANCE hMod, // handle to application instance
DWORD dwThreadId // thread identifier
);
  具体的参数含义可以翻阅msdn,没有msdn可谓寸步难行。
  这里Hook本身的功能并不重要,我们使用它的目的仅仅只是为了能够让Windows把我们的代码植入别的进程里去。hook Type我们任选一种即可,只要保证是目标程序肯定会调用到就行,这里我用的是WH_CALLWNDPROC。lpfn和hMod分别指向我们的钩子代码及其所在的dll,dwThreadId设为0,表示对所有系统内的线程都挂上这样一个hook,这样我们才能把代码放到别的进程里去。

  之后,我们的代码就已经进入了系统内的所有进程空间了。必须注意的是,我们只需要截获我们所关心的目标程序的调用,因此还必须区分一下进程号。我们自己的钩子函数中,第一次运行将进行最重要的API重定向的工作。也就是通过将所需要截获的API的开头几个字节改为一个跳转指令,使其跳转到我们的API中来。这是最关键的部分。这里我想截三个调用,ws2_32.dll中的send和recv、user32.dll中的GetMessageA。

DWORD dwCurrentPID = 0;
HHOOK hOldHook = NULL;
DWORD pSend = 0;
DWORD pRecv = 0;
GETMESSAGE pGetMessage = NULL;

BYTE btNewBytes[8] = { 0x0B8, 0x0, 0x0, 0x40, 0x0, 0x0FF, 0x0E0, 0 };
DWORD dwOldBytes[3][2];

HANDLE hDebug = INVALID_HANDLE_value;

LRESULT CALLBACK CallWndProc( int nCode, WPARAM wParam, LPARAM lParam )
{
DWORD dwSize;
DWORD dwPIDWatched;
HMODULE hLib;

if( dwCurrentPID == 0 )
{
dwCurrentPID = GetCurrentProcessId();
HWND hwndMainHook;
hwndMainHook = ::FindWindow( 0, "MainHook" );
dwPIDWatched = ::SendMessage( hwndMainHook, (WM_USER+100), 0, 0 );
hOldHook = (HHOOK)::SendMessage( hwndMainHook, (WM_USER+101), 0, 0 );

if( dwCurrentPID == dwPIDWatched )
{
hLib = LoadLibrary( "ws2_32.dll" );
pSend = (DWORD)GetProcAddress( hLib, "send" );
pRecv = (DWORD)GetProcAddress( hLib, "recv" );

::ReadProcessMemory( INVALID_HANDLE_value, (void *)pSend, (void *)dwOldBytes[0], sizeof(DWORD)*2, &dwSize );
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_send;
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pSend, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize );

::ReadProcessMemory( INVALID_HANDLE_value, (void *)pRecv, (void *)dwOldBytes[1], sizeof(DWORD)*2, &dwSize );
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_recv;
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pRecv, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize );

hLib = LoadLibrary( "user32.dll" );
pGetMessage = (GETMESSAGE)GetProcAddress( hLib, "GetMessageA" );
::ReadProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)dwOldBytes[2], sizeof(DWORD)*2, &dwSize );
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_GetMessage;
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize );

hDebug = ::CreateFile( "C://Trace.log", GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0 );
}
}

if( hOldHook != NULL )
{
return CallNextHookEx( hOldHook, nCode, wParam, lParam );
}

return 0;
}

  上面的钩子函数,只有第一次运行时有用,就是把三个函数的首8字节修改一下(实际上只需要7个)。   
     btNewBytes中的指令实际就是
     mov eax, 0x400000
     jmp eax
  这里的0x400000就是新的函数的地址,比如new_recv/new_send/new_GetMessage,此时,偷梁换柱已经完成。再看看我们的函数中都干了些什么。以GetMessageA为例:

BOOL _stdcall new_GetMessage( LPMSG lpMsg, HWND hWnd, UINT wMsgFilterMin, UINT wMsgFilterMax )
{
DWORD dwSize;
char szTemp[256];
BOOL r = false;

//Watch here before it's executed.
sprintf( szTemp, "Before GetMessage : HWND 0x%8.8X, msgMin 0x%8.8X, msgMax 0x%8.8x /r/n", hWnd, wMsgFilterMin, wMsgFilterMax );
::WriteFile( hDebug, szTemp, strlen(szTemp), &dwSize, 0 );
//Watch over

// restore it at first
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)dwOldBytes[2], sizeof(DWORD)*2, &dwSize );

// execute it
r = pGetMessage( lpMsg, hWnd, wMsgFilterMin, wMsgFilterMax );

// hook it again
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_GetMessage;
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize );

//Watch here after it's executed
sprintf( szTemp, "Result of GetMessage is %d./r/n", r );
::WriteFile( hDebug, szTemp, strlen( szTemp ), &dwSize, 0 );
if( r )
{
sprintf( szTemp, "Msg : HWND 0x%8.8X, MSG 0x%8.8x, wParam 0x%8.8X, lParam 0x%8.8X/r/nTime 0x%8.8X, X %d, Y %d/r/n",
lpMsg->hwnd, lpMsg->message,
lpMsg->wParam, lpMsg->lParam, lpMsg->time,
lpMsg->pt.x, lpMsg->pt.y );
::WriteFile( hDebug, szTemp, strlen( szTemp ), &dwSize, 0 );
}
strcpy( szTemp, "/r/n" );
::WriteFile( hDebug, szTemp, strlen( szTemp ), &dwSize, 0 );

//Watch over

return r;
}

  先将截获下来的参数,写入到一个log文件中,以便分析。然后恢复原先保留下来的GetMessageA的首8字节,然后执行真正的GetMessageA调用,完毕后再将执行结果也写入log文件,然后将GetMessageA的执行结果返回给调用者。
   整个截获的过程就是这样。你可以把其中的写log部分改成你自己想要的操作。这里有个不足的地方是,截获动作是不能够并发进行的,如果目标进程是多线程的,就会有问题。解决办法是,可以在每次new_GetMessage中加入一个CriticalSection的锁和解锁,以使调用变为串行进行,但这个我没有试验过。

iiboy
关注
专栏目录
易语言TCP_UDP封包拦截修改经典例子源码
06-27
TCP_UDP封包拦截接口\TCP通信.exe ...................\UDP通信.exe ...................\安装钩子DLL.exe ...................\mydll.dll ...................\mydll.e ...................\TCP通信.e ...................\UDP通信.e ...................\安装钩子DLL.e TCP_UDP封包拦截接口 以前玩网络游戏,很多人可能都有使用过WPE这个封包拦截软件,虽然现在WPE已时过境迁,但拦截替换网络封包的功能依然可以在某些抓包软件的身上看到。 本节我们自已也将设计一个类似于WPE那样的封包拦截替换功能的程序.该程序的封包拦截功能是在APIHOOK的基础上扩展而来的。 本节的源代码包里有两个软件,都是用易语编的. TCP通信.exe UDP通信.exe 本节要编的一个封包拦截软件,是需要用钩子EXE把一个钩子DLL文件插入目标进程中。对于拦截封包替换修改封包的功能全在DLL中实现 本节的下面的图中有些内
Windows核心编程_HOOk SOCKET实现封包拦截
17岁boy的博客
06-20 8089
Socket的HOOK技术是目前网络拦截程序的基础功能,还有浏览器的抓包工具都是通过拦截Socket函数实现的 浏览器也好,通讯软件也好,他们只是使用的通讯协议不一样,其最底层的全部都是通过封装Socket里的TCP/UDP实现的 如最常用的就是Send函数与Recv函数,一个是发送一个是接收,所以我们只需要通过Hook住Send和Recv函数就可以实现抓包功能 https://blog.csdn.net/bjbz_cxy/article/details/90574824之前写的这篇文章里很详细的介.
利用hook截获进程的API调用
Redspider的专栏
04-01 2532
截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明如下:HHOOK SetWindowsHookEx(  int idHook,        // hook type  HOOKPROC lpfn,
易语言编程-远程封包拦截与发送技术
热门推荐
hzw320的博客
10-16 1万+
我们前面学习了封包拦截的技术和发送技术,但都是用DLL的注入方式来进行拦截封包的 那么有没有一种可以不需要注入,就可以拦截到指定进程里的封包数据呢? 答案是肯定的:有的 独立团论坛的Game-EC模块的最新版本就加入了远程封包功能,但是要正确使用模块里的命令稳定运行,需模块授权使用 这个功能可以实现不需要写DLL注入到进程, 就可以进行拦截和获取指定进程的封包数据和套接字信息 非常方便便捷,远程封...
利用HOOK拦截封包原理
04-21
### 利用HOOK拦截封包原理 在网络安全与软件开发领域中,HOOK技术是一种非常重要的手段,被广泛应用于系统监控、安全检测以及程序调试等多个方面。本文将深入探讨如何使用HOOK技术来拦截网络封包,并重点讲解利用...
关于API HOOK拦截封包原理 .rar_api hook/_hook封包_封包 拦截_封包拦截_拦截封包
09-19
关于API HOOK拦截封包原理
关于API HOOK拦截封包原理
02-16
API Hook拦截封包的应用场景包括但不限于: - **安全检测**:检测和阻止恶意软件通过网络发送或接收数据。 - **网络调试**:帮助开发者理解应用如何与服务器交互,排查网络问题。 - **隐私保护**:隐藏敏感信息,...
天野学院X64Hook封包拦截发送工具
08-17
天野学院X64Hook封包拦截发送工具,可进行封包拦截、发送、过滤等,针对X64游戏程序和安卓模拟器。无需代理软件、无需驱动。
ApiHook钩子和封包拦截技术.zip
03-28
封包拦截工作原理是,当数据在网络中传输时,这些工具会捕获并解析每一层协议的数据包,包括源/目标IP地址、端口号、传输协议(TCP/UDP)、数据内容等。这使得开发者能查看网络通信的细节,找出问题所在。 在...
易语言hook WSASend
06-03
hook WSASend ,用到精易模块,效果看图。@先锋小七。
易语言HOOK api 实现封包截取.rar
02-23
易语言HOOK api 实现封包截取.rar 易语言HOOK api 实现封包截取.rar 易语言HOOK api 实现封包截取.rar 易语言HOOK api 实现封包截取.rar 易语言HOOK api 实现封包截取.rar 易语言HOOK api 实现封包截取.rar
VB API Hook拦截类代码VBAPIHooker.rar
08-28
VB API Hook拦截类代码VBAPIHooker
易语言HOOK异常处理
07-22
易语言HOOK异常处理源码,HOOK异常处理,HookSehProc,New_SE_Handler,GetSeAddr,内存非法写入,Int3,VirtualProtect
易语言封包拦截-send
07-13
易语言封包拦截-send 易语言 封包 拦截
老掉牙技术——HOOK 封包
phphot
04-09 2843
过几天在写……嘿嘿,这两天不在家。 先开头。用了VC++.NET 2008写DLL文件,本来是不想动这个东西的,毕竟不熟练;不过最近发现汇编更不熟练,导致全用汇编代码实现出了大乱子,过些天有时间回头再搞搞看看。 基本思路是用VB.NET 2008写主程序,通过WM_COPYDATA消息来交换数据; 主程序负责以下内容:1、远线程注入2、远线程初始化DLL运行所需要的
Windows Hook 易核心编程(4) API Hook拦截API
ywbhnay的专栏
04-27 1913
在开始之前,让我们先来回顾一下: 什么叫Hook API?       所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控 制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正的系统API前可 以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲H
HOOK(易语言高级部分)
平凡者的专栏
03-17 1万+
Hook API_HOOK核心代码 这里时绝对跳转 FF,有些需要修改内存属性 下面在同进程中也使用通过,其他未测试 hook同进程MessageBoxA 未HOOK前 MessageBoxA HOOK后 MessageBoxA 我们正好把这7个字节改了. mov eax,0x401A5F jmp eax 类_InlineHook 这个就是利用相对跳转。E9 整体逻...
易语言远程hook封包
最新发布
09-09
易语言远程hook封包是指使用易语言编写程序来实现对网络数据包的截取和修改操作。传统的hook封包通常是在本地计算机上进行,但远程hook封包可以在局域网或互联网的不同计算机之间进行。 要实现远程hook封包,首先需要建立网络通信连接。可以使用TCP或UDP协议进行数据传输。然后需要确定被hook的目标主机和端口,并将hook程序与目标主机进行连接。 一旦连接建立,就可以开始截取网络数据包。易语言提供了一些网络相关的函数和方法来实现此功能,如socket函数用于创建套接字,bind函数用于绑定套接字,recv函数用于接收数据,send函数用于发送数据等。 截取到的数据包可以进行分析和修改。易语言提供了很多字符串处理函数,可以对数据包中的内容进行解析和处理,如截取关键字、提取数据、加密解密等。 对于截取到的数据包,可以选择直接修改或者进行拦截和替换。根据具体需求,使用不同的方法和函数来实现对数据包的修改和操作。 需要注意的是,远程hook封包需要对被hook的目标主机和端口有一定了解,并且需要有足够的网络编程知识和技能。此外,由于易语言本身的限制和局限,可能存在性能和稳定性方面的问题,需要仔细调优和测试,确保程序的正确性和稳定性。 总之,易语言可以用来实现远程hook封包,通过建立网络连接、截取和修改数据包,可以实现对网络通信的监控和控制。但在实际应用中,需要考虑诸多因素,如性能、安全性、稳定性等,以确保程序的有效性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值