跨进程API Hook

最新推荐文章于 2024-02-27 11:18:22 发布
最新推荐文章于 2024-02-27 11:18:22 发布
阅读量7.1k 收藏 19
点赞数 1
分类专栏: Win32系统 文章标签: hook api dll image descriptor null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/detrox/article/details/17511
版权
本文详细介绍了跨进程API Hook的概念和实现方法,通过分析Win32 PE文件的IMPORT TABLE,实现API函数的重定向。同时探讨了DLL injection技术,使用SetWindowsHookEx进行进程间的函数替换,并讨论了Hook过程中应注意的问题,包括信息交互、数据共享和安全卸载等。此外,还提到了如何处理目标进程加载其他DLL的情况。
摘要由CSDN通过智能技术生成

跨进程API Hook(初稿)

detrox

什么是“跨进程 API Hook”?

众所周知Windows应用程序的各种系统功能是通过调用API函数来实现。API Hook就是给系统的API附加上一段小程序,它能监视甚至控制应用程序对API函数的调用。所谓跨进程也就是让自己的程序来控制别人程序的API调用了。

API Hook 理论

通过对Win32 PE文件的分析(如果你还不熟悉PE文件格式,可以看看Iczelion的PE教程或者LUEVELSMEYER的<<The PE File Format>>)。我们知道在PE文件中的IMPORT TABLE内存储着API函数的很多信息。其中包括API的函数名,调用地址等等。而操作系统在执行PE文件时会先将其映射到内存中。在映射的同时还会把当前版本操作系统中API函数的入口地址写入IMPORT TABLE中一组与API调用相关的结构体内,用于该应用程序的API调用。 当应用程序调用API时,他会在自己内存映像里寻找API的入口地址,然后执行CALL指令。如此一来,我们通过修改应用程序内存映像的IMPORT TABLE中API函数的入口地址,就可以达到重定向API的目的。将API地址改为我们自己函数的地址,这样我们的函数就可以完成对API的监视和控制了。

API Hook 的实现

/* 1 */HANDLE hCurrent = GetModuleHandle(NULL);
/* 2 */IMAGE_DOS_HEADER *pidh;
/* 3 */IMAGE_NT_HEADERS *pinh;
/* 4 */IMAGE_DATA_DIRECTORY *pSymbolTable;
/* 5 */IMAGE_IMPORT_DESCRIPTOR *piid;
 
/* 6 */pidh = (IMAGE_DOS_HEADER *)hCurrent; 
/* 7 */pinh = (IMAGE_NT_HEADERS *)((DWORD)hCurrent + pidh->e_lfanew);
/* 8 */pSymbolTable = &pinh->OptionalHeader.DataDirectory[1];
/* 9 */piid =(IMAGE_IMPORT_DESCRIPTOR *)((DWORD)hCurrent +  pSymbolTable->VirtualAddress);
/*10 */do {
/*11 */    IMAGE_THUNK_DATA *pitd,*pitd2;
/*12 */    pitd = (IMAGE_THUNK_DATA *)((DWORD)hCurrent + piid->OriginalFirstThunk);
/*13 */    pitd2 = (IMAGE_THUNK_DATA *)((DWORD)hCurrent + piid->FirstThunk);
/*14 */    do {
/*15 */ IMAGE_IMPORT_BY_NAME *piibn;
/*16 */ piibn = (IMAGE_IMPORT_BY_NAME *)((DWORD)hCurrent +  *((DWORD *)pitd));
/*17 */ PROC *ppfn = (PROC *)(pitd2->u1.Function);
/*18 */ if (!strcmp("MessageBoxW",(char *)piibn->Name)) {
/*19 */     oldMsg = (MsgBoxType)(ppfn);
/*20 */     DWORD addr = (DWORD)MyMessage;
/*21 */     DWORD written = 0;
      /* 改变内存读写状态 */
/*22 */     DWORD oldAccess;
/*23 */     VirtualProtect(&pitd2->u1.Function,sizeof(DWORD),PAGE_WRITECOPY,&oldAccess);
/*24 */     APIAddress = (DWORD)&pitd2->u1.Function;
      /* 向内存映像写入数据 */
/*25 */     WriteProcessMemory(GetCurrentProcess(),&pitd2->u1.Function, &addr,sizeof(DWORD), &written);
/*26 */ }
/*27 */ pitd++;pitd2++;
/*28 */    } while (pitd->u1.Function);
 
/*29 */    piid++;
/*30 */} while (piid->FirstThunk + piid->Characteristics 
  + piid->ForwarderChain + piid->Name + piid->TimeDateStamp);

分析:

寻觅IMPORT TALBE

在/*1*/中我们使用GetModuleHandle(NULL)来返回当前进程在内存中映像的基地址。但这个值在文档中仅仅被描述为"a module handle for the specified module",虽然他确实是进程内存映像的基地址。如果你不太放心的话也可以使用,GetModuleInformation函数来获得基地址,只不过你要额外包含psapi.h和psapi.lib了(这个库在VC6里没有,所以我就没有用这个函数了)。在/* 6 */里我们先找到IMAGE_DOS_HEADER结构,他的起始地址就是映像的基地址。/*7*/通过IMAGE_DOS_HEADER给出的PE文件头的偏移量,找到IMAGE_NT_HEADERS结构。顺藤摸瓜,IMAGE_NT_HEADERS里的OptionalHeader中的DataDirectory数组里的第二个元素正是指向我们想要的IMPORT TABLE的地址。在/*9*/中我们将其转化为一个IMAGE_IMPORT_DESCRIPTOR的结构指针存入piid中。

替换的API函数入口地址

在/*12*/和/*13*/中我们分别取得OriginalFirstThunk和FirstThunk结构,用于以后得到API函数的名称和入口地址。/*10*/的do循环让我们遍历每一个IMAGE_IMPORT_DESCRIPTOR结构也就是应用程序引用的每个DLL。在/*14*/的循环中我们遍历DLL中的IMAGE_THUNK_DATA结构来一一查询API的信息。/*16*/中我们将OriginalFirstThunk转换为IMAGE_IMPORT_BY_NAME结构用于获得API函数的名称进行比对。在/*18*/我们找到MessageBoxW函数之后,在/*19*/保存其原始入口地址便于以后恢复时使用。在/*23*/我们需要用VirtualProtect改变一下内存区域的读写性,因为一般应用程序的映像都是只读的,直接写入会造成一个非法访问的异常出现。在/*25*/我们写入自己函数的地址。

这样就基本完成一个API函数的重定向。

其他

恢复函数的API入口地址相对比较简单。只要把保存的值再写回去就可以了。上面的程序中/*24*/我用APIAddress保存了存有MessageBoxW入口地址的地方的地址,便于以后调用WriteProcessMemory恢复时使用。

跨进程理论

我们要用自己的函数来替代别人程序里的API函数,但我们的函数与别人的程序处于不同的进程空间内啊。不同的进程空间是不能相互调用函数的。因此我们要想办法把自己的函数放入别人的进程空间去。这时我们就需要使用DLL injection技术了。如果你对她还不是十分熟悉的话,建议看看Jeffrey Richter大师的<<Programming Applications for Microsoft Windows>>,也可以参考陈宽达先生的<<C++ Builder深度历险>>。

简而言之,DLL injection就是想办法让对方的进程加载我们的一个DLL程序,把需要替换的函数放在我们这个DLL里。如此一来,我们的函数就进入了别人的进程空间了。DLL injection方法很多,Richter大师在书中对各方法利弊有详细解释,陈宽大先生的书中也有深入的分析。我在这里使用SetWindowsHookEx函数来达到目的。主要有这几个原因: 1, 不用重新启动系统,调试方便。2, 可以利用消息循环机制进行两个进程之间的通信,可以较好的掌握Hook的状态。便于安装与卸载。

SetWindowsHookEx之所以能完成DLL injection是因为它要给一个应用程序某个环节加上一个Hook,而Hook就要有Hook Procedure也就是Hook函数。如果这个Hook函数在一个DLL中,那么系统就会把这个DLL加载到SetWindowsHookEx的目标进程上。从而也就达到了我们DLL injection的目的了。当然这里我们会用WH_GETMESSAGE的Hook进行injection,因为这个Hook可以用来监视目标进程的消息循环方便我们的进程与目标进程通信。

跨进程的实现和几点注意

/* DllPart.Dll */
#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
typedef (WINAPI *MsgBoxType)(HWND,LPCWSTR,LPCWSTR,UINT); 
MsgBoxType oldMsg;  /*API原入口地址*/
DWORD APIAddress; /*存储API入口地址的地方的地址*/
int WINAPI  MyMessage(HWND hWnd ,LPCWSTR M1,LPCWSTR M2, UINT M3) {
 /* 这是用来替换的函数 */
 return oldMsg(hWnd,buf,M2,MB_OK);
}
const char szApp[] = "DllPart.dll";
HHOOK hHook; /*Hook的句柄*/
HMODULE hInst; /*DLL 模块句柄,用于SetWindowsHookEx函数*/
HWND hTarget; /*目标窗口句柄*/
/
最低0.47元/天 解锁文章
detrox
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
白盒测试 用 hook 做测试之 Binder 进程通信
DJ355的博客
08-13 132
白盒测试是一种软件测试方法,它侧重于测试代码的内部结构和逻辑,而不是测试代码的外部行为。在 Android 平台上,Binder 是一种用于进程通信的 IPC(Inter-Process Communication)技术。通过使用 hook 技术,可以在 Binder 通信过程中进行白盒测试,以验证代码的正确性。
Hook MessageBox 进阶 进程Hook
xugangjava的专栏
11-01 6765
转载注明出处 http://blog.csdn.net/xugangjava/article/details/7455851 以前的文章中说了 如果Hook 系统的MessageBox的函数,本文主要介绍如何Hook全局的MessageBox函数。 这里我用SetWindowsHookEx 来实现,SetWindowsHookEx最后一个参数设置为0 ,表示拦截所有进程的相关消息。
进程_API_Hook
08-09
进程API_Hook
Hook MessageBox 进阶 进程Hook
hewei0241的专栏
08-01 1003
转载注明出处 http://blog.csdn.net/xugangjava/article/details/14001685 以前的文章(http://blog.csdn.net/xugangjava/article/details/7455851)中介绍了如何Hook 系统的MessageBox的函数不过只限于本进程, 本文主要介绍如何Hook其他进程的Messa
VB如何拦截API调用.apihook钩子
03-28
在这个“VB如何拦截API调用.apihook钩子”的项目中,我们可以看到一系列的VB文件,它们共同实现了一个API Hook的示例。 1. **Module1.bas** 和 **Module2.bas**: 这两个模块可能包含了VB代码,用于实现API Hook的...
API Hook.7z
01-26
API Hook是一种技术,它允许程序员拦截和修改其他进程中的函数调用。在“API Hook.7z”这个压缩包中,包含三个小程序,它们分别用于不同的目的,让我们逐一解析。 首先,`testExe`和`测试exe`可能是同一个程序的...
apihook.rar_api hook
09-24
在给定的"apihook.rar_api hook"压缩包中,包含了一个名为"apihook.cpp"的源代码文件,这很可能是实现API Hook功能的一个C++程序。 API Hook的主要应用场景包括: 1. **调试与监控**:开发者可以使用API Hook来...
API挂接 进程API挂接实现
04-14
用钩子方法进行挂接另外一个进程API函数,并以Demo展示使用方法,对于学习挂接技术是很好的入门指南。
在C#中应用HOOK
mableboy的专栏
10-08 2243
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。关于Hook的详细介绍,在微软的MSDN中有,http://www.microsoft.com/china/community/program/o
进程使用进程句柄
輚至消亡
03-18 1722
1. 父子进程间实现进程使用进程句柄 首先来查看一个创建进程的关键API,有关于进程使用进程句柄中最关键的2个参数已经用红框框出 首先知道一个概念,每个进程被创建后内部都有一张句柄表。 来看第一个参数bInheritHandles, 这个参数决定了创建的子进程能否继承父进程的句柄表。如果是TRUE则创建的子进程会继承父进程句柄表否则不会。 BOOL bInheritHandles, 也就是说假设有2个进程A和B。A进程通过CreateProcess创建了B进程。如果A进程创建B时Cre
android 进程hook,偶然间想到一种无需DLL进程HOOK的方法
weixin_28865303的博客
05-29 507
这个方法的原理就是:①首先在API头部写一个CC断点②中断的时候程序收到消息,并且读出参数需要注意的地方只有修正EIP寄存器,和读取参数的问题。因为API采用STDCALL的方式调用,所以参数是从右向左压进堆栈的。还有就是API的开头是mov edi,edipush ebpmov ebp,esp我们要注意,因为我们是在头部断下的,还没有执行push ebp,而执行了push ebp之后esp会减4...
在C++中找到进程中所加载的某一模块的基地址
最新发布
qq_35320456的博客
02-27 964
在C++中找到进程中所加载的某一模块的基地址
IAT-Hook 劫持进程Api调用
笔记本
05-28 2616
✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook的实现代码,后续再更新复制原始API部分代码的热补丁Hook和SSDT-Hook T_T 本来昨...
进程获取其他程序的DBGrid内容
gdhuman的专栏
07-19 9188
关键词:钩子Hook, DLL注入, FindControl转自http://nishuixingzhou.bokee.com/4853833.html一、思考与启发  1.对于Windows的Standard Controls,基本上大家应该是都会的:  GetWindowText,WM_GETTEXT可以获取EDIT的文本内容;  LB_GETTEXT可以获取LISTBOX列表项的文本内容
爱奇艺网络协程编写高并发应用实践
爱奇艺技术产品团队
06-05 1988
本⽂以爱奇艺开源的⽹络协程库(https://github.com/iqiyi/libfiber )为例,讲解⽹络协程的设计原理、编程实践、性能优化等⽅⾯内容。⼀、概述早年间, ⽀持多个...
API Hook技术详解与应用
API Hook的核心挑战在于如何将自定义代码注入到其他进程以及如何有效地挂钩API。 1. 基本原理 API Hook的基本思路是在目标API被调用之前插入自定义代码,使得在原始API执行前,先执行自定义的处理逻辑。这个过程...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值