hook模板x86/x64通用版(4)--CHook.cpp说明

最新推荐文章于 2018-03-22 17:28:10 发布
最新推荐文章于 2018-03-22 17:28:10 发布
阅读量1.9k 收藏 2
点赞数 2
分类专栏: hook教程 文章标签: x64hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yes2/article/details/50631268
版权

因为注释比较齐全,所以同样不多说别的了。

#include "StdAfx.h"
#include "Hook.h"

//导入bea反汇编引擎
#define BEA_ENGINE_STATIC  
#define BEA_USE_STDCALL    
#include "../beaEngine/headers/BeaEngine.h"
#ifdef _WIN64
#pragma comment(lib, "../beaEngine/win64/lib/BeaEngineCheetah64.lib")
#pragma comment(linker,"/nodefaultlib:crt64.lib")
#else
#pragma comment(lib, "../beaEngine/win32/lib/BeaEngineCheetah.lib")
#pragma comment(linker,"/nodefaultlib:crt.lib")
#endif//BeaEngine end

//静态成员初始化
BYTE* CHook::m_szRet = 0;
//中转函数的shellcode
#ifdef _WIN64
BYTE CHook::m_szTransferFunction[TRANSFER_FUNC_SIZE] = {
0x50 , 0x51 , 0x52 , 0xB9 , 0x00 , 0x00 , 0x00 , 
0x00 , 0x48 , 0x89 , 0xE2 , 0x48 , 0x83 , 0xea , 
0x68 , 0x48 , 0x83 , 0xec , 0x20 , 0xE8 , 0x00 , 0x00 , 0x00 , 0x00 , 0x83 , 
0x04 , 0x24 , 0x12 , 0x68 , 0x00 , 0x00 , 0x00 , 
0x00 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x00 , 0x00 , 
0x00 , 0x00 , 0xC3 , 0x48 , 0x83 , 0xc4 , 0x20 ,0x53 , 0x55 , 0x54 , 0x56 , 
0x57 , 0x41 , 0x50 , 0x41 , 0x51 , 0x41 , 0x52 , 
0x41 , 0x53 , 0x41 , 0x54 , 0x41 , 0x55 , 0x41 , 
0x56 , 0x41 , 0x57 , 0xE8 , 0x00 , 0x00 , 0x00 , 
0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x00 , 
0x00 , 0x00 , 0x00 , 0xC7 , 0x44 , 0x24 , 0x04 , 
0x00 , 0x00 , 0x00 , 0x00 , 0xC3 , 0x41 , 0x5F , 
0x41 , 0x5E , 0x41 , 0x5D , 0x41 , 0x5C , 0x41 , 
0x5B , 0x41 , 0x5A , 0x41 , 0x59 , 0x41 , 0x58 , 
0x5F , 0x5E , 0x5C , 0x5D , 0x5B , 0x5A , 0x59 , 
0x58 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x9c , 0x50 , 0x51 , 0x52 , 0x48 , 0x83 , 0xec , 0x20 , 0xB9 , 
0x00 , 0x00 , 0x00 , 0x00 , 0x48 , 0x31 , 0xD2 , 
0xE8 , 0x00 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 
0x24 , 0x12 , 0x68 , 0x00 , 0x00 , 0x00 , 0x00 , 
0xC7 , 0x44 , 0x24 , 0x04 , 0x00 , 0x00 , 0x00 , 
0x00 , 0xC3 , 0x48 , 0x83 , 0xc4 , 0x20 , 0x5A , 0x59 , 0x58 , 0x9d , 0x68 , 0x00 , 
0x00 , 0x00 , 0x00 , 0xC7 , 0x44 , 0x24 , 0x04 , 
0x00 , 0x00 , 0x00 , 0x00 , 0xC3
};
BYTE CHook::m_szTransferFunction_ForCall[TRANSFER_FUNC_FOR_CALL_SIZE] = {
0x50 , 0x51 , 0x52 , 0x\
B9 , 0x78 , 0x56 , 0x34 , 0x12 , 0x\
48 , 0x87 , 0x54 , 0x24 , 0x18 , 0x48 , 0x83 , 0xEC , 0x20 , 0x\
E8 , 0x00 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0xC3 , 0x\
48 , 0x83 , 0xC4 , 0x20 , 0x\
B9 , 0x78 , 0x56 , 0x34 , 0x12 , 0x\
48 , 0x89 , 0xE2 , 0x48 , 0x83 , 0xEA , 0x68 , 0x48 , 0x83 , 0xEC , 0x20 , 0x\
E8 , 0x00 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0xC3 , 0x\
48 , 0x83 , 0xC4 , 0x20 , 0x53 , 0x55 , 0x54 , 0x56 , 0x57 , 0x41 , 0x50 , 0x41 , 0x51 , 0x41 , 0x52 , 0x41 , 0x53 , 0x41 , 0x54 , 0x41 , 0x55 , 0x41 , 0x56 , 0x41 , 0x57 , 0x\
E8 , 0x00 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0xC3 , 0x\
41 , 0x5F , 0x41 , 0x5E , 0x41 , 0x5D , 0x41 , 0x5C , 0x41 , 0x5B , 0x41 , 0x5A , 0x41 , 0x59 , 0x41 , 0x58 , 0x5F , 0x5E , 0x5C , 0x5D , 0x5B , 0x5A , 0x59 , 0x58 , 0x48 , 0x83 , 0xC4 , 0x08 , 0x\
68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0x\
90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x\
50 , 0x51 , 0x52 , 0x\
B9 , 0x78 , 0x56 , 0x34 , 0x12 , 0x\
48 , 0x89 , 0xE2 , 0x48 , 0x83 , 0xEA , 0x68 , 0x48 , 0x83 , 0xEC , 0x20 , 0x\
E8 , 0x20 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0xC3 , 0x\
48 , 0x83 , 0xC4 , 0x20 , 0x53 , 0x55 , 0x54 , 0x56 , 0x57 , 0x41 , 0x50 , 0x41 , 0x51 , 0x41 , 0x52 , 0x41 , 0x53 , 0x41 , 0x54 , 0x41 , 0x55 , 0x41 , 0x56 , 0x41 , 0x57 , 0x\
E8 , 0x20 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0xC3 , 0x\
41 , 0x5F , 0x41 , 0x5E , 0x41 , 0x5D , 0x41 , 0x5C , 0x41 , 0x5B , 0x41 , 0x5A , 0x41 , 0x59 , 0x41 , 0x58 , 0x5F , 0x5E , 0x5C , 0x5D , 0x5B , 0x5A , 0x59 , 0x\
B9 , 0x78 , 0x56 , 0x34 , 0x12 , 0x\
48 , 0x83 , 0xEC , 0x20 , 0x\
E8 , 0x20 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0xC3 , 0x\
48 , 0x83 , 0xC4 , 0x20 , 0x48 , 0x87 , 0x04 , 0x24 , 0x50 , 0x51 , 0x52 , 0x48 , 0x83 , 0xEC , 0x20 , 0x\
B9 , 0x78 , 0x56 , 0x34 , 0x12 , 0x\
48 , 0x31 , 0xD2 , 0x\
E8 , 0x20 , 0x00 , 0x00 , 0x00 , 0x83 , 0x04 , 0x24 , 0x12 , 0x68 , 0x78 , 0x56 , 0x34 , 0x12 , 0xC7 , 0x44 , 0x24 , 0x04 , 0x21 , 0x43 , 0x65 , 0x87 , 0xC3 , 0x\
48 , 0x83 , 0xC4 , 0x20 , 0x5A , 0x59 , 0x58 , 0xC3
};
#else
BYTE CHook::m_szTransferFunction[TRANSFER_FUNC_SIZE] = {
0x50 , 0x54 , 0x83 , 0x2C , 0x24 , 0x1C , 
0x68 , /*[pos:0x7]*/0x00 , 0x00 , 0x00 , 0x00 , 
0xE8 , /*[pos:0xc]*/0x00 , 0x00 , 0x00 , 0x00 , 
0x58 , 0x60 , 
0xE8 , /*[pos:0x13]*/0x00 , 0x00 , 0x00 , 0x00 , 
0x61 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x90 , 0x50 , 0x6A , 0x00 , 
0x68 , /*[pos:0x3a]*/0x00 , 0x00 , 0x00 , 0x00 , 
0xE8 , /*[pos:0x3f]*/0x00 , 0x00 , 0x00 , 0x00 , 
0x58 , 
0xE9 , /*[pos:0x45]*/0x00 , 0x00 , 0x00 , 0x00
};

BYTE CHook::m_szTransferFunction_ForCall[TRANSFER_FUNC_FOR_CALL_SIZE] = {
0x87 , 0x04 , 0x24 , 0x50 , 
0x68 , /*[pos:0x5]*/0x00 , 0x00 , 0x00 , 0x00 , 
0xE8 , /*[pos:0xa]*/0xC9 , 0xFB , 0xD1 , 0x76 , 
0x54 , 0x83 , 0x2C , 0x24 , 0x1C , 
0x68 , /*[pos:0x14]*/0x00 , 0x00 , 0x00 , 0x00 , 
0xE8 , /*[pos:0x19]*/0xBA , 0xFB , 0xD1 , 0x76 , 
0x58 , 0x60 , 
0xE8 , /*[pos:0x20]*/0x2F , 0xE7 , 0xFF , 0xFF , 
0x61 , 
0x68 , /*[pos:0x26]*/0x00 , 0x00 , 0x00 , 0x00 , 
/*[pos:0x2a]*/0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 0x90 , 
/*[pos:0x48]*/0x50 , 0x54 , 0x83 , 0x2C , 0x24 , 0x1C , 
0x68 , /*[pos:0x4f]*/0x00 , 0x00 , 0x00 , 0x00 , 
0xE8 , /*[pos:0x54]*/0x7F , 0xFB , 0xD1 , 0x76 , 
0x58 , 0x60 , 
0xE8 , /*[pos:0x5b]*/0xF4 , 0xE6 , 0xFF , 0xFF , 
0x61 , 0x50 , 
0x68 , /*[pos:0x62]*/0x00 , 0x00 , 0x00 , 0x00 , 
0xE8 , /*[pos:0x67]*/0xC8 , 0xF8 , 0xD1 , 0x76 , 
0x87 , 0x04 , 0x24 , 0x50 , 0x6A , 0x00 , 
0x68 , /*[pos:0x72]*/0x00 , 0x00 , 0x00 , 0x00 , 
0xE8 , /*[pos:0x77]*/0x5C , 0xFB , 0xD1 , 0x76 , 
0x58 , 0xC3
};
#endif

//dllmain中创建线程dwWaitThread,调用MyEntry.cpp的StartHook函数
//在暴露给用户的MyEntry.cpp中隐藏起来这些东西。
extern void WINAPI StartHook();

DWORD WINAPI dwWaitThread( LPVOID lpArgs )
{
	StartHook();
	return 0;
}

//写jmp的x86版本函数
void CHook::WriteJMP_x86(DWORD_PTR dwFrom , DWORD_PTR dwTo)
{
	DWORD_PTR dwAdr = dwFrom;

	DWORD dwOldP;
	VirtualProtect((LPVOID)dwAdr , 0x100 , PAGE_EXECUTE_READWRITE , &dwOldP);

	*(BYTE*)dwAdr = 0xE9;
	dwAdr+=1;
	*(DWORD*)dwAdr = dwTo - (dwFrom + 5);
}
//写call的x86版本函数
void CHook::WriteCall_x86(DWORD_PTR dwFrom , DWORD_PTR dwTo)
{
	DWORD_PTR dwAdr = dwFrom;

	DWORD dwOldP;
	VirtualProtect((LPVOID)dwAdr , 0x100 , PAGE_EXECUTE_READWRITE , &dwOldP);

	*(BYTE*)dwAdr = 0xE8;
	dwAdr+=1;
	*(DWORD*)dwAdr = dwTo - (dwFrom + 5);
}

//类构造函数
CHook::CHook(void* pOriginAdr , void* pNewHook)
{
	Init();
	SetHook(pOriginAdr , pNewHook);
}

CHook::CHook(void* pOriginAdr , void* pNewHook , void* pHookAfterCall)
{
	Init();
	SetHook(pOriginAdr , pNewHook , pHookAfterCall);
}
//析构函数
CHook::~CHook(void)
{
//等待hook函数走完再析构和释放
	if (m_szMyTransfer)
	{
		while (TlsGetValue(m_dwTlsIndexForRegister))
		{
			Sleep(500);
		}
		RemoveHook();
		delete[] m_szMyTransfer;
	}
	TlsFree(m_dwTlsIndexForRegister);
	TlsFree(m_dwTlsIndexForRetAdr);
}


//获取hook点现场
ST_REGISTER* CHook::GetRegOnHookPoint()
{
	return (ST_REGISTER*)TlsGetValue(m_dwTlsIndexForRegister);
}

void CHook::Init()
{
//初始化两个Tls变量
	m_dwTlsIndexForRetAdr = TlsAlloc();
	TlsSetValue(m_dwTlsIndexForRetAdr , 0);
	m_dwTlsIndexForRegister = TlsAlloc();
	TlsSetValue(m_dwTlsIndexForRegister , 0);

//初始化“直接返回”的函数体,一字节0xc3
	DWORD dwOld;
	if (!m_szRet)
	{
		m_szRet = new BYTE[1];
		*m_szRet = 0xc3;
		VirtualProtect(m_szRet , 100 , PAGE_EXECUTE_READWRITE , &dwOld);
	}
}

//设置普通hook
BOOL CHook::SetHook( void* pOriginAdr , void* pNewHook )
{
//创建一块内存区域用于存放shellcode
	DWORD dwOld;
	m_szMyTransfer = new BYTE[TRANSFER_FUNC_SIZE];
	memcpy(m_szMyTransfer , m_szTransferFunction , TRANSFER_FUNC_SIZE);
	VirtualProtect(m_szMyTransfer , 100 , PAGE_EXECUTE_READWRITE , &dwOld);
//shellcode中需要修正的位置保存成数组,方便编译
#ifdef _WIN64
	unsigned int szOffset[] = {0x4 , 0x13 , 0x43 , 0x72 , 0x99 , 0xa0 , 0xbf};
#else
	unsigned int szOffset[] = {0x7 , 0xc-1 , 0x13-1 , 0x18 , 0x3a , 0x3f-1 , 0x45-1};
#endif

	BOOL bRet = FALSE;
	HMODULE hMod = GetModuleHandle(_T("Kernel32.dll"));
	FARPROC pFunc_TlsSetValue = GetProcAddress(hMod , "TlsSetValue");

//把hook位置被破坏的指令保存到m_szMyTransfer + szOffset[3]这个地址,中转函数会执行这部分指令
	int dwCodeLen = TransplantCode(pOriginAdr , m_szMyTransfer + szOffset[3]);

//如果允许破坏的空间足够大
	if (dwCodeLen >= JMP_CODE_LEN)
	{
	//保存hook地址
		m_pOrigin_Adr = pOriginAdr;
	//保存破坏的空间大小
		m_nOrigin_CodeLen = dwCodeLen;
	//申请空间,保存被破坏的指令字节
		m_pOldCode = new BYTE[dwCodeLen];
		memcpy(m_pOldCode , pOriginAdr , dwCodeLen);

	//修正shellcode中的各种偏移
		*(DWORD32*)(m_szMyTransfer + szOffset[0]) = m_dwTlsIndexForRegister;
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[1]) , (DWORD_PTR)pFunc_TlsSetValue);
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[2]) , (DWORD_PTR)pNewHook);
// 		memcpy((LPVOID)(m_szMyTransfer + szOffset[3]) , (LPVOID)pOriginAdr , dwCodeLen);
		*(DWORD32*)(m_szMyTransfer + szOffset[4]) = m_dwTlsIndexForRegister;
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[5]) , (DWORD_PTR)pFunc_TlsSetValue);
		WriteJMP((DWORD_PTR)(m_szMyTransfer + szOffset[6]) , (DWORD_PTR)pOriginAdr + dwCodeLen);
		WriteJMP((DWORD_PTR)pOriginAdr , (DWORD_PTR)m_szMyTransfer);

		bRet = TRUE;
	}
	else
	{
		m_szMyTransfer = 0;
		m_pOrigin_Adr = 0;
		MessageBox(0 , _T("hook点异常,指令无法识别或含有跳转指令") , _T("hook失败") , MB_OK);
	}

	return bRet;
}

BOOL CHook::SetHook( void* pOriginAdr , void* pNewHook , void* pHookAfterCall )
{
//创建一块内存区域用于存放shellcode
	DWORD dwOld;
	m_szMyTransfer = new BYTE[TRANSFER_FUNC_FOR_CALL_SIZE];
	memcpy(m_szMyTransfer , m_szTransferFunction_ForCall , TRANSFER_FUNC_FOR_CALL_SIZE);
	VirtualProtect(m_szMyTransfer , 100 , PAGE_EXECUTE_READWRITE , &dwOld);
//shellcode中需要修正的位置保存成数组,方便编译
#ifdef _WIN64
	unsigned int szOffset[] = {0x4 , 0x11 , 0x2d , 0x3c , 0x6c , 0x9b+4 , 0xc8+4 , 
		0xa8+4 , 0xcc+4 , 0xdb+4 , 0x10b+4 , 0x13a+4 , 0x142+4 , 0x169+4 , 0x170+4};
#else
	unsigned int szOffset[] = {0x5 , 0xa-1 , 0x14 , 0x19-1 , 0x20-1 , 0x26 , 0x48 , 
		0x2a , 0x4f , 0x54-1 , 0x5b-1 , 0x62 , 0x67-1 , 0x72 , 0x77-1};
#endif

	BOOL bRet = FALSE;
	if (!pNewHook && !pHookAfterCall)
	{
		return bRet;
	}

	HMODULE hMod = GetModuleHandle(_T("Kernel32.dll"));
	FARPROC pFunc_TlsSetValue = GetProcAddress(hMod , "TlsSetValue");
	FARPROC pFunc_TlsGetValue = GetProcAddress(hMod , "TlsGetValue");

//用户回调函数分为函数执行前和函数执行后,如果某个回调函数设置为null,则替换为m_szRet这个直接c3返回的函数
	void* pBefore = pNewHook;
	void* pAfter = pHookAfterCall;
	if (!pBefore)
	{
		pBefore = m_szRet;
	}
	if (!pAfter)
	{
		pAfter = m_szRet;
	}

//把hook位置被破坏的指令保存到m_szMyTransfer + szOffset[3]这个地址,中转函数会执行这部分指令
	int dwCodeLen = TransplantCode(pOriginAdr , m_szMyTransfer + szOffset[7]);

//如果允许破坏的空间足够大
	if (dwCodeLen >= JMP_CODE_LEN)
	{
	//保存hook地址
		m_pOrigin_Adr = pOriginAdr;
	//保存破坏的空间大小
		m_nOrigin_CodeLen = dwCodeLen;
	//申请空间,保存被破坏的指令字节
		m_pOldCode = new BYTE[dwCodeLen];
		memcpy(m_pOldCode , pOriginAdr , dwCodeLen);

	//修正shellcode中的各种偏移
		*(DWORD32*)(m_szMyTransfer + szOffset[0]) = m_dwTlsIndexForRetAdr;
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[1]) , (DWORD_PTR)pFunc_TlsSetValue);
		*(DWORD32*)(m_szMyTransfer + szOffset[2]) = m_dwTlsIndexForRegister;
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[3]) , (DWORD_PTR)pFunc_TlsSetValue);
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[4]) , (DWORD_PTR)pBefore);
#ifdef _WIN64
		BYTE szTmp = *(m_szMyTransfer + szOffset[7]);
		WriteJMP((DWORD_PTR)m_szMyTransfer+szOffset[5] , (DWORD_PTR)m_szMyTransfer+szOffset[6]);
		*(m_szMyTransfer + szOffset[7]) = szTmp;
#else
 		*(DWORD32*)(m_szMyTransfer + szOffset[5]) = (DWORD)m_szMyTransfer+szOffset[6];
#endif
// 		memcpy((LPVOID)(m_szMyTransfer + szOffset[7]) , (LPVOID)pOriginAdr , dwCodeLen);
		WriteJMP((DWORD_PTR)m_szMyTransfer+szOffset[7]+dwCodeLen , (DWORD_PTR)(DWORD_PTR)pOriginAdr + dwCodeLen);
		*(DWORD32*)(m_szMyTransfer + szOffset[8]) = m_dwTlsIndexForRegister;
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[9]) , (DWORD_PTR)pFunc_TlsSetValue);
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[10]) , (DWORD_PTR)pAfter);
		*(DWORD32*)(m_szMyTransfer + szOffset[11]) = m_dwTlsIndexForRetAdr;
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[12]) , (DWORD_PTR)pFunc_TlsGetValue);
		*(DWORD32*)(m_szMyTransfer + szOffset[13]) = m_dwTlsIndexForRegister;
		WriteCall((DWORD_PTR)(m_szMyTransfer + szOffset[14]) , (DWORD_PTR)pFunc_TlsSetValue);
		WriteJMP((DWORD_PTR)pOriginAdr , (DWORD_PTR)m_szMyTransfer);

		bRet = TRUE;
	}
	else
	{
		m_szMyTransfer = 0;
		m_pOrigin_Adr = 0;
		MessageBox(0 , _T("hook点异常,指令无法识别或含有跳转指令") , _T("hook失败") , MB_OK);
	}

	return bRet;

}

int CHook::TransplantCode( void* pOriginAdr , BYTE* pDestAdr )
{
//初始化bea引擎
	DISASM MyDisasm;
	memset (&MyDisasm, 0, sizeof(DISASM));
#if defined(_WIN64)
	MyDisasm.Archi = 64;
#else
	MyDisasm.Archi = 0;
#endif

//以hook点pOriginAdr开始识别指令
	MyDisasm.EIP = (UIntPtr)pOriginAdr;
	DWORD dwCodeLen = 0;
	while (1)
	{
	//调用Disasm解析指令
		int nLen = Disasm(&MyDisasm);
	//无法识别就滚蛋
		if (nLen == UNKNOWN_OPCODE) 
			break;

	//含有跳转也滚蛋
		if (MyDisasm.Instruction.BranchType == RetType)
			break;

	//记录识别的长度
		dwCodeLen += nLen;

	//迁移当前指令到中转函数的空间中
		memcpy(pDestAdr , (void*)MyDisasm.EIP, nLen);

	//这个判断目前似乎只有x64才会产生作用
	//用于识别类似于mov [eip+xxx],register这样的指令
	//即以eip为原点偏移的指令,jmp其实也是,不过跳转指令在上面已经被pass了
		if (nLen > 4 && MyDisasm.Instruction.AddrValue)
		{
		//计算指令中的偏移数据
			DWORD32* pArg = (DWORD32*)(MyDisasm.EIP + nLen - 4);
		//如果确实是以eip为偏移的指令
			if (*pArg + nLen + MyDisasm.EIP == MyDisasm.Instruction.AddrValue)
			{
			//计算迁移后的实际eip为原点的偏移数据
				DWORD32* pNewArg = (DWORD32*)(pDestAdr + nLen - 4);
			//修正偏移数据
				*pNewArg = MyDisasm.Instruction.AddrValue - nLen - (DWORD_PTR)pDestAdr;
			}
		}

		pDestAdr += nLen;
		MyDisasm.EIP  += nLen;

	//如果空间已经足够就中断
		if (dwCodeLen >= JMP_CODE_LEN)
		{
			break;
		}

	};
	return dwCodeLen;
}

//写jmp的x64版本函数
void CHook::WriteJMP_x64( DWORD_PTR dwFrom , DWORD_PTR dwTo )
{
	DWORD_PTR dwAdr = dwFrom;

	DWORD dwOldP;
	VirtualProtect((LPVOID)dwAdr , 0x100 , PAGE_EXECUTE_READWRITE , &dwOldP);

	*(BYTE*)dwAdr = 0x68;
	dwAdr+=1;
	*(DWORD32*)dwAdr = DWORD32(dwTo & 0xffffffff);
	dwAdr+=4;
	*(DWORD32*)dwAdr = DWORD32(0x042444c7);
	dwAdr+=4;
	*(DWORD32*)dwAdr = DWORD32(dwTo >> 32);
	dwAdr+=4;
	*(BYTE*)dwAdr = 0xc3;
/*
push 地址的低32位
mov dword ptr ss:[rsp+4],地址的高32位
ret
*/

//14 bytes
}

//写call的x64版本函数
void CHook::WriteCall_x64( DWORD_PTR dwFrom , DWORD_PTR dwTo )
{
	DWORD_PTR dwAdr = dwFrom;

	DWORD dwOldP;
	VirtualProtect((LPVOID)dwAdr , 0x100 , PAGE_EXECUTE_READWRITE , &dwOldP);

	*(BYTE*)dwAdr = 0xE8;
	dwAdr+=1;
	*(DWORD*)dwAdr = DWORD32(0);
	dwAdr+=4;
	*(DWORD32*)dwAdr = DWORD32(0x12240483);
	dwAdr+=4;
	*(BYTE*)dwAdr = 0x68;
	dwAdr+=1;
	*(DWORD32*)dwAdr = DWORD32(dwTo & 0xffffffff);
	dwAdr+=4;
	*(DWORD32*)dwAdr = DWORD32(0x042444c7);
	dwAdr+=4;
	*(DWORD32*)dwAdr = DWORD32(dwTo >> 32);
	dwAdr+=4;
	*(BYTE*)dwAdr = 0xc3;
/*
call @next   //e8 00 00 00 00
@next:
add dword ptr ss:[rsp],12
push 地址的低32位
mov dword ptr ss:[rsp+4],地址的高32位
ret
*/

//23 bytes
}

//移除hook的线程
//严格来说,也许应该遍历所有线程,保证没有线程运行到hook位置和中转函数
//然后冻结线程,再移除hook,这样才正规和安全
//然而我不会
DWORD WINAPI RemoveHook_Thread(LPVOID lpParam )
{
	CHook *pHook = (CHook*)lpParam;
//当GetRegOnHookPoint获取hook现场返回0时候,说明基本执行完毕了
	while (pHook->GetRegOnHookPoint())
	{
		Sleep(500);
	}
//正式移除hook
	pHook->RemoveHook_unsafe();
	return 0;
}

BOOL CHook::RemoveHook()
{
	if (TlsGetValue(m_dwTlsIndexForRegister))
	{
		CreateThread(0 , 0 , RemoveHook_Thread , this , 0 , 0);
	}
	else
	{
		RemoveHook_unsafe();
	}
	return TRUE;
}

BOOL CHook::RemoveHook_unsafe()
{
//恢复hook点
	memcpy((LPVOID)m_pOrigin_Adr , (LPVOID)m_pOldCode , m_nOrigin_CodeLen);
//释放保存的指令
	delete[] m_pOldCode;
//释放中转函数
	delete[] m_szMyTransfer;
	return TRUE;
}


yes2
关注
专栏目录
HOOK 完美支持x86/x64
05-24
完美支持x86x64,调用方式灵活,x64下可以支持 5字节跳转,12字节跳转,14字节跳转,配合 HookApp 内核注入驱动使用,能达到做好的效果。
hook模板x86/x64通用版(2)--中转函数的shellcode编写
yes2的专栏
01-27 1721
这个模板的思路是这样的: 1.破坏原地址的指令(至少5字节,此处如果含有跳转会报失败),写一个跳转,被破坏的指令迁移到别的地方; 2.跳转到中转函数,中转函数中会调用用户定义的功能函数; 3.执行原地址被破坏的指令,跳转到原地址的下一指令处。 如果是在API(或普通call)头部进行hook的话,还支持执行API前调用用户定义的“执行前处理函数”,并在执行完API后调用用户定义的“执行后处
KHook.cpp
zhihu008的专栏
09-21 552
// KHook.cpp : 定义 DLL 应用程序的导出函数。 // #include "stdafx.h" #define KHOOK_DLL #include "KHook.h" #include #include "Imm.h" #include "stdio.h" //#include "afx.h" //using namespace std; /*-----
HOOK API 完美支持 x86 x64
05-24
完美支持 x86x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
x64 APIHook
04-17
x64 APIHook类,用在x64位操作系统下的apihook
nvidia-container-runtime-2.0.0-3.docker18.09.6.x86_64.rpm
06-19
centos7.4+ nvidia-docker2 安装所需要的必备包之一 libnvidia-container-tools-1.0.2-1.x86_64.rpm ...nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm nvidia-docker2-2.0.3-3.docker18.09.6.ce.noarch.rpm
oci-systemd-hook-0.2.0-1.git05e6923.el7_6.x86_64.rpm
12-04
离线安装包,亲测可用
libnvidia-container-tools-1.0.5-1.x86_64.rpm
11-04
centos7.6+ nvidia-docker2 安装所需要的必备包之一 libnvidia-container-tools-1.0.5-1.x86_64.rpm libnvidia-container1-...runtime-hook-1.4.0-2.x86_64.rpm nvidia-docker2-2.0.3-3.docker18.09.6.ce.noarch.rpm
nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm
06-19
centos7.4+ nvidia-docker2 安装所需要的必备包之一 libnvidia-container-tools-1.0.2-1.x86_64.rpm ...nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm nvidia-docker2-2.0.3-3.docker18.09.6.ce.noarch.rpm
vdsm-hook-extra-ipv4-addrs-4.20.23-1.el7.x86_64.rpm
12-23
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
hookUtil.cpp
08-16
可以参考我的博客,安卓hook程序
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
06-26
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
检测内存是否被修改(x64
03-22
检测内存是否被修改(x64
HOOK钩子 指定程序
zhengspace
01-23 3129
HOOK的应用一般有3个: (1)本程序内的钩子(一般用处不大) (2)全局钩子 (3)其他任意指定线程的钩子 由于最近要做一个关于针对指定应用程序的劫持,在网上看了很多资料,大部分是讲全局钩子的。针对特定程序的钩子,讲得要么不清楚,要么没有给详细的代码,当然,鄙人的水平有限。现在,我就把任意指定程序的钩子创建过程,给一个详细的代码。 本文所用的关键函数是:GetWindowThread
钩子模式 HooK 模板方法模式
开心就好~~~专栏
03-26 3670
有一个模板来执行一段代码,就好比一个造车的工厂在造车, 我写了一个造车的逻辑,但是我不知道客户每次的需求是想造 什么车,那好我们做一个模板,把造车相同的工艺流程提取出来 做成一个模板,然后在有分歧的位置调用一个方法,我们让这个 方法是一个接口,然后你想造什么车自己去实现不同的部分就OK了。 这样提高了代码的复用性,也是多态的一种运用,在一定程度上增加了工作效率。
HOOK编程
清风盛开
11-10 2508
<br />注明:该文转自sch0120的技术博客<br /> <br />一、什么是HOOK?<br />  "hook"这个单词的意思是“钩子”,"Windows Hook"是Windows消息处理机制的一个重要扩展,程序员可以通过它来钩住(截获)感兴趣的消息,并用事先编好的一个函数(钩子过程)来处理这些消息!当然,这个处理是在消息到达目标窗口之前进行的。<br />  钩子过程(hook procedure)实际上是一个用来处理消息的函数,通过系统调用,程序员可以把它挂入系统或进程的钩子链中,让它成为
模板方法-高级应用 hook(钩子)
dengjili的专栏
03-22 3230
模板方法模式入门:https://blog.csdn.net/dengjili/article/details/79631472 修改设计 加入hook,其中这个hook方法是可选的 给出例子,再给出解释 package headfirst.hd.template.eg; public abstract class AbstractClass { //不让子类覆盖掉...
hook模板x86/x64通用版(1)--x64下的jmp远跳、远call指令
yes2的专栏
01-25 3998
我一直在寻找能用,通用,简短的x64远跳河远call指令 现在用的跟大家分享一下,哪位大牛有更好的希望可以指点一下。 还有pushad/popad在x64下有什么好的替代品么?求指点。 远跳: 代码: push 地址的低32位 mov dword ptr ss:[rsp+4],地址的高32位 ret 远call: 代码: call @next   //e8 00
apache-atlas-2.1.0-hive-hook.tar.gz
最新发布
09-05
apache-atlas-2.1.0-hive-hook.tar.gz是Apache Atlas项目中的一个软件包。Apache Atlas是一个开源的数据治理和元数据框架,用于收集、集成、索引和搜索数据资产。它提供了一个统一的视图来管理企业中的所有数据资产,包括表、列、模式、实体和关系等。而apache-atlas-2.1.0-hive-hook.tar.gz是Atlas项目为了与Hive集成而提供的一个插件。 Hive是一个构建在Hadoop之上的数据仓库基础设施工具,用于处理大规模的结构化数据。它提供了类似于SQL的查询和分析功能,可以将数据批量导入、导出和查询。通过与Apache Atlas的集成,可以实现对Hive中数据资产的元数据管理和治理。 在实际的应用中,apache-atlas-2.1.0-hive-hook.tar.gz可以被部署到Hive的服务器上,并与Hive的插件机制进行集成。通过配置Hive的元数据存储URL、用户名和密码等信息,Atlas可以自动从Hive中提取元数据,并将其索引到Atlas的元数据仓库中。这样,用户可以在Atlas的界面中浏览和搜索Hive中的表、列和关系,并进行数据资产的管理和治理。 此外,apache-atlas-2.1.0-hive-hook.tar.gz还提供了一些其他功能,如基于分类标签的权限控制、数据血缘追踪、数据脱敏等。通过这些功能,用户可以更好地理解和管理Hive中的数据资产,提高数据治理的效率和质量。 总之,apache-atlas-2.1.0-hive-hook.tar.gz是Apache Atlas项目中用于与Hive集成的插件,通过它可以实现对Hive中数据资产的元数据管理和数据治理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值