利用HOOK拦截封包原理

最新推荐文章于 2021-03-18 12:17:11 发布
最新推荐文章于 2021-03-18 12:17:11 发布
阅读量795 收藏
点赞数
文章标签: hook api user null 多线程 工作
2004-2-18加入  来自未知  作者佚名  2条评论  点击7940
       
截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。 
首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明如下: 
HHOOK SetWindowsHookEx( 
int idHook, // hook type 
HOOKPROC lpfn, // hook procedure 
HINSTANCE hMod, // handle to application instance 
DWORD dwThreadId // thread identifier 
); 
具体的参数含义可以翻阅msdn,没有msdn可谓寸步难行。 
这里Hook本身的功能并不重要,我们使用它的目的仅仅只是为了能够让Windows把我们的代码植入别的进程里去。hook Type我们任选一种即可,只要保证是目标程序肯定会调用到就行,这里我用的是WH_CALLWNDPROC。lpfn和hMod分别指向我们的钩子代码及其所在的dll,dwThreadId设为0,表示对所有系统内的线程都挂上这样一个hook,这样我们才能把代码放到别的进程里去。 


之后,我们的代码就已经进入了系统内的所有进程空间了。必须注意的是,我们只需要截获我们所关心的目标程序的调用,因此还必须区分一下进程号。我们自己的钩子函数中,第一次运行将进行最重要的API重定向的工作。也就是通过将所需要截获的API的开头几个字节改为一个跳转指令,使其跳转到我们的API中来。这是最关键的部分。这里我想截三个调用,ws2_32.dll中的send和recv、user32.dll中的GetMessageA。 

DWORD dwCurrentPID = 0; 
HHOOK hOldHook = NULL; 
DWORD pSend = 0; 
DWORD pRecv = 0; 
GETMESSAGE pGetMessage = NULL; 

BYTE btNewBytes[8] = { 0x0B8, 0x0, 0x0, 0x40, 0x0, 0x0FF, 0x0E0, 0 }; 
DWORD dwOldBytes[3][2]; 

HANDLE hDebug = INVALID_HANDLE_value; 

LRESULT CALLBACK CallWndProc( int nCode, WPARAM wParam, LPARAM lParam ) 

DWORD dwSize; 
DWORD dwPIDWatched; 
HMODULE hLib; 

if( dwCurrentPID == 0 ) 

dwCurrentPID = GetCurrentProcessId(); 
HWND hwndMainHook; 
hwndMainHook = ::FindWindow( 0, "MainHook" ); 
dwPIDWatched = ::SendMessage( hwndMainHook, (WM_USER+100), 0, 0 ); 
hOldHook = (HHOOK)::SendMessage( hwndMainHook, (WM_USER+101), 0, 0 ); 

if( dwCurrentPID == dwPIDWatched ) 

hLib = LoadLibrary( "ws2_32.dll" ); 
pSend = (DWORD)GetProcAddress( hLib, "send" ); 
pRecv = (DWORD)GetProcAddress( hLib, "recv" ); 

::ReadProcessMemory( INVALID_HANDLE_value, (void *)pSend, (void *)dwOldBytes[0], sizeof(DWORD)*2, &dwSize ); 
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_send; 
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pSend, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize ); 

::ReadProcessMemory( INVALID_HANDLE_value, (void *)pRecv, (void *)dwOldBytes[1], sizeof(DWORD)*2, &dwSize ); 
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_recv; 
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pRecv, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize ); 

hLib = LoadLibrary( "user32.dll" ); 
pGetMessage = (GETMESSAGE)GetProcAddress( hLib, "GetMessageA" ); 
::ReadProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)dwOldBytes[2], sizeof(DWORD)*2, &dwSize ); 
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_GetMessage; 
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize ); 

hDebug = ::CreateFile( "C://Trace.log", GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0 ); 



if( hOldHook != NULL ) 

return CallNextHookEx( hOldHook, nCode, wParam, lParam ); 


return 0; 


上面的钩子函数,只有第一次运行时有用,就是把三个函数的首8字节修改一下(实际上只需要7个)。btNewBytes中的指令实际就是 
mov eax, 0x400000 
jmp eax 
这里的0x400000就是新的函数的地址,比如new_recv/new_send/new_GetMessage,此时,偷梁换柱已经完成。再看看我们的函数中都干了些什么。以GetMessageA为例: 

BOOL _stdcall new_GetMessage( LPMSG lpMsg, HWND hWnd, UINT wMsgFilterMin, UINT wMsgFilterMax ) 

DWORD dwSize; 
char szTemp[256]; 
BOOL r = false; 

//Watch here before it's executed. 
sprintf( szTemp, "Before GetMessage : HWND 0x%8.8X, msgMin 0x%8.8X, msgMax 0x%8.8x /r/n", hWnd, wMsgFilterMin, wMsgFilterMax ); 
::WriteFile( hDebug, szTemp, strlen(szTemp), &dwSize, 0 ); 
//Watch over 

// restore it at first 
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)dwOldBytes[2], sizeof(DWORD)*2, &dwSize ); 

// execute it 
r = pGetMessage( lpMsg, hWnd, wMsgFilterMin, wMsgFilterMax ); 

// hook it again 
*(DWORD *)( btNewBytes + 1 ) = (DWORD)new_GetMessage; 
::WriteProcessMemory( INVALID_HANDLE_value, (void *)pGetMessage, (void *)btNewBytes, sizeof(DWORD)*2, &dwSize ); 

//Watch here after it's executed 
sprintf( szTemp, "Result of GetMessage is %d./r/n", r ); 
::WriteFile( hDebug, szTemp, strlen( szTemp ), &dwSize, 0 ); 
if( r ) 

sprintf( szTemp, "Msg : HWND 0x%8.8X, MSG 0x%8.8x, wParam 0x%8.8X, lParam 0x%8.8X/r/nTime 0x%8.8X, X %d, Y %d/r/n", 
lpMsg->hwnd, lpMsg->message, 
lpMsg->wParam, lpMsg->lParam, lpMsg->time, 
lpMsg->pt.x, lpMsg->pt.y ); 
::WriteFile( hDebug, szTemp, strlen( szTemp ), &dwSize, 0 ); 

strcpy( szTemp, "/r/n" ); 
::WriteFile( hDebug, szTemp, strlen( szTemp ), &dwSize, 0 ); 

//Watch over 

return r; 


先将截获下来的参数,写入到一个log文件中,以便分析。然后恢复原先保留下来的GetMessageA的首8字节,然后执行真正的GetMessageA调用,完毕后再将执行结果也写入log文件,然后将GetMessageA的执行结果返回给调用者。 
整个截获的过程就是这样。你可以把其中的写log部分改成你自己想要的操作。这里有个不足的地方是,截获动作是不能够并发进行的,如果目标进程是多线程的,就会有问题。解决办法是,可以在每次new_GetMessage中加入一个CriticalSection的锁和解锁,以使调用变为串行进行,但这个我没有试验过。 

WriteProecssMemory 在win9x下不能对2g以上的空间写操作,NT内核的可以; WSOCKET32.DLL等不是在2g以上,可以对它们用WriteProecssMemory
 
away5678
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用hook截获进程的API调用
Redspider的专栏
04-01 2519
截获API是个很有用的东西,比如你想分析一下别人的程序是怎样工作的。这里我介绍一下一种我自己试验通过的方法。首先,我们必须设法把自己的代码放到目标程序的进程空间里去。Windows Hook可以帮我们实现这一点。SetWindowsHookEx的声明如下:HHOOK SetWindowsHookEx(  int idHook,        // hook type  HOOKPROC lpfn,
易语言网络封包拦截修改源码.rar
07-11
易语言网络封包拦截修改源码.rar
易语言编程-远程封包拦截与发送技术
热门推荐
hzw320的博客
10-16 1万+
我们前面学习了封包拦截的技术和发送技术,但都是用DLL的注入方式来进行拦截封包的 那么有没有一种可以不需要注入,就可以拦截到指定进程里的封包数据呢? 答案是肯定的:有的 独立团论坛的Game-EC模块的最新版本就加入了远程封包功能,但是要正确使用模块里的命令稳定运行,需模块授权使用 这个功能可以实现不需要写DLL注入到进程, 就可以进行拦截和获取指定进程的封包数据和套接字信息 非常方便便捷,远程封...
Windows Hook 易核心编程(4) API Hook拦截API
ywbhnay的专栏
04-27 1852
在开始之前,让我们先来回顾一下: 什么叫Hook API?       所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控 制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正的系统API前可 以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲H
【干活】关于拦截封包的两个不同版本的recv函数
追逐光芒,追随内心
03-18 962
wsock32.dll 和 ws2_32.lib 里面都有 recv这个函数 功能是一样的,只是函数地址不一样,hook的时候要注意。二选一吧。 #pragma comment(lib,“wsock32.lib”) 或 #pragma comment(lib,“ws2_32.lib”) #include <windows.h> #include <tchar.h> #include <stdio.h> #include "detours.h" #pragma c
关于API HOOK拦截封包原理 .rar_api hook/_hook封包_封包 拦截_封包拦截_拦截封包
09-19
关于API HOOK拦截封包原理
关于API HOOK拦截封包原理
02-16
API Hook拦截封包的应用场景包括但不限于: - **安全检测**:检测和阻止恶意软件通过网络发送或接收数据。 - **网络调试**:帮助开发者理解应用如何与服务器交互,排查网络问题。 - **隐私保护**:隐藏敏感信息,...
易语言-hook 拦截操作源码 纯源 APIHOOK
06-29
易语言杀软监控源码例程程序结合易语言通用对象支持库,调用API函数监控杀软。易语言杀软监控源码对学习HOOK有所帮助。 易学编程网
易语言封包截取源码,易语言HOOKapi实现封包截取
08-19
HOOKapi实现封包截取系统结构:dll,myrecv,mysend,HOOKON,HOOKOFF,发送文本,CallWindowProc_,SetWindowLong_,寻找顶级窗口_,MessageBox_,关闭内核对象_,创建文件映射对象_,MapViewOfFile_,UnmapViewOfFile_,打开文件映射
易语言web封包拦截
07-20
易语言web封包拦截源码,web封包拦截,排查无用封包,封包分析,拦截连接,拦截接收,拦截发送,加入列表,取指定内容,取当前时间,安装拦截,安装send,卸载send,安装recv,卸载recv,安装WSASend,卸载WSASend,安装WSARecv,卸载WSARecv,安装sendto,卸载sendto,安装recvfro
易语言-易语言通过HOOK进行IP转发/拦截
06-29
通过HOOK进行IP转发/拦截源码,源码调用了超级模块。
天野学院X64Hook封包拦截发送工具
08-17
天野学院X64Hook封包拦截发送工具,可进行封包拦截、发送、过滤等,针对X64游戏程序和安卓模拟器。无需代理软件、无需驱动。
ApiHook钩子和封包拦截技术.zip
03-28
封包拦截工作原理是,当数据在网络中传输时,这些工具会捕获并解析每一层协议的数据包,包括源/目标IP地址、端口号、传输协议(TCP/UDP)、数据内容等。这使得开发者能查看网络通信的细节,找出问题所在。 在...
详谈HOOK API的技术
skyremember的专栏
11-02 693
 详谈HOOK API的技术        上一帖     下一帖    查看完整版本页: [1] 麦克风http://www.51cto.com2006-4-6 03:05详谈HOOK API的技术HOOKAPI是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的AP
易语言远程hook封包
最新发布
09-09
易语言远程hook封包是指使用易语言编写程序来实现对网络数据包的截取和修改操作。传统的hook封包通常是在本地计算机上进行,但远程hook封包可以在局域网或互联网的不同计算机之间进行。 要实现远程hook封包,首先...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值