最近研究了一下Windows 用户模式下 API 钩子的技术。主要研究了两种技术:一种是修改INT/IAT API入口地址的方式,一种是微软Detours的方式。
INT/IAT方式的优点:
1。实现相对简单,很直接。
2。自己实现后代码很精简,几十行就行了。
INT/IAT方式的缺点:
1。需要详细了解PE的结构及Windows Loader的工作过程。
2。有很多情况下,钩不住函数,因为钩子是通过修改INT/IAT实现的,如果调用时没有通过INT/IAT,就钩不上。我原本想钩住某个函数,但是该函数是被其自身dll内部调用的,没有通过INT/IAT,就钩不上。
3。需要详细了解INT/IAT的位置,想钩住的话,得知道是哪个模块的INT/IAT,如果是按照Ordinal导入的,还得查Ordinal,这个需要动态分析方面知识。如果钩时遍历整个进程的所有模块的INT/IAT,也比较麻烦。
4。另一种钩不住的情况是显式调用API ,就是LoadLibrary+GetProcAddress的方式,还是因为没有通过INT/IAT,所以钩不到。
5。有钩的顺序的问题,如果某个dll是延迟加载的,但你提前改了delay load 的IAT,然后才Load该dll,windows loader会覆盖入口地址,就失效了,这点也很麻烦。
Detours方式的优点:
1。因为是直接修改函数首指令,只要调用这个函数,没有钩不到的问题,无论调用方是怎么调用的,包括INT/IAT/间接/COM等等。
2。无需PE的背景知识,微软有帮助文档,看明白就会了。
Detours方式的缺点:
1。微软的专利产品,想商用的话得买授权。
2。64位的连试用版都没有,只能先买授权了。
3。会有一个附加dll,想取消的话得改代码。
4。代码多,造成结果exe/dll比较大。