《Windows核心编程》---HOOK API基础

HOOK API是指截获特定进程或系统对某个API函数的调用，使得API的执行流程转向指定的代码。最常用的一种挂钩API的方法是改变目标进程中调用API函数的代码，使得它们对API的调用变为对用户自定义函数的调用。

Windows下应用程序有自己的地址空间，它们只能调用自己地址空间中的函数；因此，在挂钩API之前，必须将一个可以代替API执行的函数的执行代码注入到目标进程，接着将目标进程对该API的调用改为对注入到目标进程中自定义函数的调用。这个自定义函数一般称为代理函数。在代理函数中，可以调用原来的API，也可以做其他事情。

注入代码到目标进程比较简单的方法是把要注入的代码写到DLL中，然后让目标进程加载这个DLL，这就是所谓的DLL注入技术。而一旦程序代码进入了另一个进程的地址空间，就可以毫无限制的使用进程的资源了。在这个要注入到目标进程的DLL中写一个与感兴趣的API函数的签名完全相同的函数（即代理函数），当DLL执行初始化代码的时候，把目标进程对这个API的调用全部改为对代理函数的调用，即可实现拦截API函数。

当然，我们也可以利用DLL在目标进程中初始化的机会去创建新的线程，该线程对目标进程有着完全的访问权限。我们可以将它视为守护线程，在接收到通知时，访问目标进程的资源，也可以通过这种方式隐藏自己，创建没有“进程”的线程。

 

HOOK的过程：

1）导入函数是被本程序调用，但其实现代码却在其他模块中的函数。API函数全是导入函数，它们的实现代码在Kernel32.dll、User32.dll等Win32子系统模块中。

模块的导入函数名和这些函数驻留的DLL名等信息都保留在它的导入表(import table)中。导入表是一个IMAGE_IMPORT_DESCRIPTOR结构的数组，每个结构对应着一个导入模块。

typedef struct _IMAGE_IMPORT_DESCRIPTOR

{

       union

       {

              DWORD Characteristics;

              DWORD OriginalFirstThunk; //hint/name(函数序号/名称)表的偏移量，记录导入函数名称

       };

       DWORD TimeDataStamp;

       DWORD ForwarderChain;

       DWORD Name;        //导入模块名称字符串的偏移量

       DWORD FirstThunk;        //IAT(Import Address Table，导入地址表)的偏移量，记录导入函数地址

}IMAGE_IMPORT_DESCRIPTOR;

应用程序启动时，载入器根据PE文件的导入表记录的DLL名（上面的Name域）加载相应的DLL模块，再根据导入表的hint/name表（OriginalFirstThunk指向的数组）记录的函数名取得函数的地址，接着将这些地址保存到导入表的IAT（FirstThunk指向的数组）中。

应用程序在调用导入函数时，要先到导入表的IAT中找到这个函数的地址，然后再调用。模块的IAT仅仅是一个DWORD数组，数组的每个成员记录着一个导入函数的地址。

一种非常常用的HOOK API的方法就是修改模块的导入表；为了保存堆栈的平衡，自定义函数使用的调用规则和参数个数必须与它所替代的API函数完全相同。

 

2）为了修改导入地址表（IAT），首先需定位目标模块PE结构中的导入表的地址。

PE文件以64字节的DOS文件头开始（IAMGE_DOS_HEADER），接着是一小段DOS程序，然后是248字节的NT文件头（IMAGE_NT_HEADERS）。NT文件头相对文件开始位置的偏移量可以由IMAGE_DOS_HEADER结构的e_lfanew给出。

NT文件头的前4个字节是文件签名（“PE00”字符串）,紧接着是20字节的IMAGE_FILE_HEADER结构，下面的代码取得一个指向IMAGE_OPTIONAL_HEADER结构的指针（以主模块为例）：

//这里是为了示例，取得主模块的模块句柄

HMODULE hMod = ::GetModuleHandle(NULL);

IMAGE_DOS_HEADER *pDosHeader = (IMAGE_DOS_HEADER*)hMod;

IMAGE_OPTIONAL_HEADER *pOptHeader =

                                   (IMAGE_OPTIONAL_HEADER*)((BYTE*)hMod + pDosHeader->e_lfanew + 24);

IMAGE_OPTIONAL_HEADER包含了许多重要的信息，有推荐的模块基地址、代码和数据的大小和基地址、线程堆栈和进程堆的配置、程序入口点的地址以及我们感兴趣的数据目录表指针。PE文件保留了16个数据目录，最常见的有导入表、导出表、资源和重定位表。

导入表是一个IMAGE_IMPORT_DESCRIPTOR结构的数组，每个结构对应一个导入模块。下面的代码取得导入表中第一个IMAGE_IMPORT_DESCRIPTOR结构的指针（即导入表首地址）：

IMAGE_IMPORT_DESCRIPTOR *pImportDesc = (IMAGE_IMPORT_DESCRIPTOR)*

                     ((BYTE*)hMod + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

 

除了可以通过PE文件结构定位模块的导入表外，还可以使用ImageDirectoryEntryToData函数，这个函数知道模块基地址后直接返回指向指定数据目录表的首地址：

#include <ImageHlp.h>

#pragma comment(lib, "ImageHlp")

 

PVOID ImageDirectoryEntryToData(

       PVOID Base,                                                               //模块基地址

       BOOLEAN MappedAsImage,        //如果此参数是TRUE，文件被系统ª当做镜像映射，否则，当做数据文件映射

       USHORT DirectoryEntry,               //指定IMAGE_DIRECTORY_ENTRY_IMPORT说明要取得导入表首地址

       PULONG Size)                                                     //返回表项的大小

 

IMAGE_IMPORT_DESCRIPTOR结构包含了hint/name（函数序号/名称）表和IAT（导入地址表）的偏移量。这两个表的大小相同，一个成员对应一个导入函数，分别记录了导入函数的名称和地址。

 

HOOK API的实现：

定位导入表之后，就可以定位导入地址表（IAT）了。为了截获API的调用，只要用自定义函数的地址覆盖导入地址表（IAT）中真实的API函数地址即可。

下面是挂钩MessageBoxA函数的例子，主模块中对MessageBoxA的调用都变为对自定义函数AceMessageBoxA的调用：

#include <Windows.h>

#include <stdio.h>

//挂钩指定模块hMod对MessageBoxA的调用

BOOL SetHook(HMODULE hMod);

//定义MessageBoxA函数原型

typedef int(WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);

//保存MessageBoxA函数的真实地址

PROC g_orgProc = (PROC)MessageBoxA;

 

void main()

{

       //调用原API函数

       ::MessageBox(NULL, "原函数", "ACE", 0);

       //挂钩后再调用

       SetHook(::GetModouleHandle(NULL));

       ::MessageBox(NULL, "原函数", "ACE", 0);

}

 

//用于替换MessageBoxA的自定义函数

int WINAPI AceMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)

{

       return ((PFNMESSAGEBOX)g_orgProc)(hWnd, "新函数", "ACE", uType);

}

 

BOOL SetHook(HMODULE hMod)

{

       IMAGE_DOS_HEADER *pDosHeader = (IMAGE_DOS_HEADER*)hMod;

       IMAGE_OPTIONAL_HEADER *pOptHeader =

                     (IMAGE_OPTIONAL_HEADER*)((BYTE*)hMod + pDosHeader->e_lfanew + 24);

       IMAGE_IMPORT_DESCRIPTOR *PImportDesc = (IMAGE_IMPORT_DESCRIPTOR*)

                     ((BYTE*)hMod + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

       //在导入表中查找user32.dll模块，因为MessageBoxA函数从user32.dll模块导出

       while(pImportDesc->FirstThunk)

       {

              char* pszDllName = (char*)((BYTE*)hMod + pImportDesc->Name);

              if(lstrcmpiA(pszDllName, "user32.dll") == 0)

              {

                     break;

              }

              pImportDesc++;

       }

 

       if(pImportDesc->FirstThunk)

       {

              //一个IMAGE_THUNK_DATA结构就是一个双字，它指定了一个导入函数

              //调用地址表其实是IMAGE_THUNK_DATA结构的数组，也就是DWORD数组

              IMAGE_THUNK_DATA *pThunk = (IMAGE_THUNK_DATA*)

                                   ((BYTE*)hMod + pImportDesc->FirstThunk);

              while(pThunk->u1.Function)

              {

                     //lpAddr指向的内存保存了函数的地址

                     DWORD *lpAddr = (DWORD*)&(pThunk->u1.Function);

                     if(*lpAddr == (DWORD)g_orgProc)

                     {

                            //修改IAT表项，使其指向我们自定义的函数

                            //相当于语句"*lpAddr = (DWORD)AceMessageBoxA"

                            DWORD* lpNewProc = (DWORD*)AceMessageBoxA;

                            ::WriteProcessMemory(GetCurrentProcess(), lpAddr, &lpNewProc, sizeof(DWORD), NULL);

                            return TRUE;

                     }

                     pThunk++;

              }

       }

       return FALSE;

}