最近在研究API Hook,其中遇到些许事情,一些思想,拿来分享。如有错误,欢迎指出。大牛可跳过。
我是一个新人,若文章略显啰嗦,还请体谅。
问题:
API Hook大家应该很熟悉,最常见的实现方法就是:在原函数的头几个字节添加跳转指令Jmp,跳到我们自己的拦截函数。随后的问题就是,如何调用原函数,因为原函数已经被破坏了。
大家应该也知道microsoft的detour工具,它的原理是建立一个trampoline函数(“蹦床”),把原函数的头几条汇编指令存在其中,然后再jump回原函数被截断的地方。
随后也带来一个问题,那就是,需要分析原函数的汇编代码,在恰当的“点”把原函数截断,把这个“点”之前的代码复制到trampoline函数中。但是,分析汇编代码,对于吾等新人,实为一桩难事。(当然,你可以利用一些第三方的library。要做肯定是能做的。)
方法:
后来想了想,其实不分析汇编码也可以。(这个想法的灵感来源于他人的一篇文章,一时找不到链接了。)
思想是把原函数的代码完完全全地复制到另一个地方(称之为“新函数”吧)。那么在拦截函数中直接调用新函数就行了。实现方法就是:用VirtualAlloc分配一点新的进程地址空间,作为新函数的地址,然后从原函数的地址复制到新地址。
其中最大的问题是:怎么确定要复制多少byte呢? (此处大家可能会想怎么确定原函数的“大小”,其实这2个问题并不等价)。其实也不难,只要利用模块的导出表就可以了。
大致的步骤:
1. 得到原函数的地址(用GetProcAddress,Windows程序员都知道)。
2. 得到模块的函数导出表(ImageDirectoryEntryToData(xx, xx, IMAGE_DIRECTORY_ENTRY_EXPORT, xx) 或其他方法)。
3. 遍历导出表中的函数地址,找到“大于原函数地址并且最靠近原函数”的一个“下边界函数”的地址。那么我们需要拷贝的区间就是从原函数地址开始,至下边界函数的地址结束。
4. 当然也可能找不到一个下边界函数,那么就把下边界的地址定在整个模块的结束地址(其实也可以定在代码段的结束地址,相关资料大家可以搜索“PE文件格式”,此处不细论了)。
还需要说明一点:从原函数至下边界函数之间,未必只包含原函数的代码,我想可能也包含一些未导出的函数。所以会浪费一点内存。
我自己并未去实现,但理论上是完全可行的。
小结:
嗯,差不多说完了。大家可能觉得这种方法是技术的倒退。没错,的确如此。但本文的目的并不是提供先进的技术,而是拿出一种解决问题的思路,拿来与大家分享、讨论。