不用汇编实现HOOK MessageBoxW

最新推荐文章于 2020-12-01 03:52:17 发布
最新推荐文章于 2020-12-01 03:52:17 发布
阅读量3.8k 收藏 9
点赞数 2
分类专栏: HOOK VC MFC C++ 文章标签: 钩子 HOOK API HOOK API MessageBoxW
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendan/article/details/12242533
版权
VC 同时被 3 个专栏收录
125 篇文章 4 订阅
订阅专栏
C++
66 篇文章 0 订阅
订阅专栏
MFC
51 篇文章 3 订阅
订阅专栏

参考文章:http://blog.csdn.net/masefee/article/details/5664416

-----------------------------------------------------------------------------------------------------------------------------

关于HOOK的跳转地址,网上流传着一条公式:

int nAddr= UserFunAddr – SysFunAddr - (我们定制的这条指令的大小,一般为5);
Jmp nAddr;

有篇文章谈了jmp的计算方法:jmp 偏移地址的计算方法

http://blog.csdn.net/twtzw/article/details/3436443

想说的是,一开始我就是按着上述公式来进行HOOK的,然而却HOOK失败,

调试跟踪了很久,发现上述公式不适合我这篇文章说的HOOK,后来我将公式

修改如下,就HOOK成功了:

int nAddr= UserFunAddr – SysFunAddr;
Jmp nAddr;

说这些,目的是想让大家学会灵活应变吧。

----------------------------------------------------------------------------------------------------------------------------------------------------------------------

接下来,进入正题,无汇编代码HOOK MessageBoxW

先看下MessageBoxW的反汇编代码:

75C2EA5A 90               nop              
75C2EA5B 90               nop              
75C2EA5C 90               nop              
75C2EA5D 90               nop              
75C2EA5E 90               nop              
75C2EA5F 8B FF            mov         edi,edi 
75C2EA61 55               push        ebp  
75C2EA62 8B EC            mov         ebp,esp 
75C2EA64 83 3D 74 9A C3 75 00 cmp         dword ptr ds:[75C39A74h],0 
75C2EA6B 74 24            je          75C2EA91 
75C2EA6D 64 A1 18 00 00 00 mov         eax,dword ptr fs:[00000018h] 
75C2EA73 6A 00            push        0    
75C2EA75 FF 70 24         push        dword ptr [eax+24h] 
75C2EA78 68 A4 9E C3 75   push        75C39EA4h 
75C2EA7D FF 15 34 14 BD 75 call        dword ptr ds:[75BD1434h] 
75C2EA83 85 C0            test        eax,eax 
75C2EA85 75 0A            jne         75C2EA91 
75C2EA87 C7 05 A0 9E C3 75 01 00 00 00 mov         dword ptr ds:[75C39EA0h],1 
75C2EA91 6A 00            push        0    
75C2EA93 FF 75 14         push        dword ptr [ebp+14h] 
75C2EA96 FF 75 10         push        dword ptr [ebp+10h] 
75C2EA99 FF 75 0C         push        dword ptr [ebp+0Ch] 
75C2EA9C FF 75 08         push        dword ptr [ebp+8] 
75C2EA9F E8 49 FF FF FF   call        75C2E9ED 
75C2EAA4 5D               pop         ebp  
75C2EAA5 C2 10 00         ret         10h  
...

如何得到以上汇编代码呢?很简单,在VS2008中,在调用MessageBoxW的地方下调试断点,

断下来后,在MessageBoxW上面,点鼠标右键,选择【转到汇编代码】,然后单步跟踪就可以看到了。

---------------------------------------------------------------------------------------------------------------------------------------------------

HOOK的原理很简单,就是修改API的入口,使其跳转到我们的假API,观察上述汇编代码,注意红色的

代码:

75C2EA5A 90               nop              
75C2EA5B 90               nop              
75C2EA5C 90               nop              
75C2EA5D 90               nop              
75C2EA5E 90               nop              
75C2EA5F 8B FF            mov         edi,edi 

如果你单步跟踪过MessageBoxW时,你会发现,进入MessageBoxW函数时的首地址是75C2EA5F,

MessageBoxW的入口代码是这一行:75C2EA5F      8B FF            mov         edi,edi 

不难得出MessageBoxW的入口指令是:mov    edi,edi  该指令的机器码是:8B FF  共占两个字节的内存空间。

--------------------------------------------------------------------------------------------------------------------------------------------------------------------

假设我们的假API函数地址为addr=12345678,该地址占用四个字节的内存空间,实际上无论是我们的函数还

是系统API,它们的地址都占用4个字节的内存空间。

我们知道Jmp指令的机器码为E9,占一个字节的内存空间,所以Jmp  12345678占用5个字节的内存空间,

前面说了MessageBoxW的入口指令是:mov    edi,edi只有两个字节的内存空间,而我们的跳转指令却有5个

字节,我们改如何修改MessageBoxW的入口使其跳转到我们的假API函数呢?想呀想...

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

再看看MessageBoxW的入口反汇编代码:

75C2EA5A 90               nop              
75C2EA5B 90               nop              
75C2EA5C 90               nop              
75C2EA5D 90               nop              
75C2EA5E 90               nop              
75C2EA5F 8B FF            mov         edi,edi 
75C2EA61 55               push        ebp  
75C2EA62 8B EC            mov         ebp,esp 

...

你注意到了没,MessageBoxW入口的前5条汇编指令都是nop,机器码为90,

这5条什么都不做的nop指令,刚好占5个字节,这是巧合吗?还是上天的安排O(∩_∩)O哈!

实际上很多系统的API入口都是上面这个样子,感谢MS留给我们的5个字节哈\(^o^)/~

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

这下HOOK的思路就出来啦,我们将Jmp  12345678写到MessageBoxW入口的前五个字节,

MessageBoxW入口的前两个字节8B  FF改为EB  F9,为什么要改成EB  F9呢?

哈哈,机器码EB  F9可以实现跳转,只是其跳转的距离比较短,

机器码EB表示short  jmp,即短跳转了。

机器码F9表示向后偏移7个字节,相当于负数7了。

EB  F9连起来,就是跳转到MessageBoxW入口前面的第5个地址处了,即去执行我们的Jmp  12345678,

为什么是跳转到MessageBoxW入口前面的第5个地址处呢?不是第7个?F9不是负7吗?

答案是:EB  F9占用的2个字节也要算哦,即从F9的地址开始跳。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

好,有了以上的知识,就可以开始编写程序了,也有助于我们理解代码,

文章后面我会给本程序的源码下载地址,先看下程序截图:


//未HOOK前


//HOOK后


-------------------------------------------------------------------------------------------------------------------------------------------------------

主要代码如下:

//函数原型及变量定义
typedef int (WINAPI *MsgBoxW)(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType);
MsgBoxW OldMsgBoxW=NULL;//保存API函数入口地址
BYTE *pfApiFunc=NULL;//用于修改API函数入口

//函数声明
int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType);

//开始HOOK
void HookOn()
{
	//获取API入口地址
	HINSTANCE hInst=LoadLibrary(_T("User32.dll"));
	OldMsgBoxW=(MsgBoxW)::GetProcAddress(hInst,"MessageBoxW");
	if (OldMsgBoxW==NULL)
	{
		AfxMessageBox(_T("获取原API地址出错!"));
		return;
	}
	pfApiFunc=( BYTE* )OldMsgBoxW- 5;

	//获取进程句柄
	HANDLE hProcess=::OpenProcess(PROCESS_ALL_ACCESS,0,GetCurrentProcessId());
	if (hProcess==NULL)
	{
		return;
	}

	//修改API入口前7个字节
	DWORD dwOldProtect=0;
	VirtualProtectEx(hProcess,pfApiFunc,7,PAGE_EXECUTE_READWRITE,&dwOldProtect);
	//(int&)pfSrcFunc[1]=(int)MyMessageBoxW-(int)OldMsgBoxW-5;//经测试减5会HOOK失败
	pfApiFunc[0]=0xE9;//机器码E9,表示Jmp
	(int&)pfApiFunc[1]=(int)MyMessageBoxW-(int)OldMsgBoxW;//API地址占4个字节空间
	pfApiFunc[5]=0xEB;//机器码EB,表示short jmp
	pfApiFunc[6]=0xF9;//机器码F9表示向后偏移7个字节,相当于负数7了
					  //EB F9连起来表示:short jmp offset: -7  即往后跳7步
	VirtualProtectEx(hProcess,pfApiFunc,7,dwOldProtect,NULL);
}

//停止HOOK
void HookOff()
{
	//获取进程句柄
	HANDLE hProcess=::OpenProcess(PROCESS_ALL_ACCESS,0,GetCurrentProcessId());
	if (hProcess==NULL)
	{
		return;
	}

	//恢复API前7个字节
	DWORD dwOldProtect=0;
	VirtualProtectEx(hProcess,pfApiFunc,7,PAGE_EXECUTE_READWRITE,&dwOldProtect); 
	memset(pfApiFunc,0x90,5);  //机器码90,表示nop 
	pfApiFunc[ 5 ] = 0x8B;  //8B FF表示:mov edi,edi 
	pfApiFunc[ 6 ] = 0xFF;  //8B FF表示:mov edi,edi  
	VirtualProtectEx(hProcess,pfApiFunc,7,dwOldProtect,NULL);
}

//我们的假API函数
int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)
{
	int nRet=0;
	HookOff();//恢复真API入口
	nRet=::MessageBoxW(NULL,L"MessageBoxW被钩了吧!",L"测试",0);//调用真API
	HookOn();//再次HOOK真API
	return nRet;
}



//开始HOOK MessageBoxW
void CHookNoAsmDlg::OnBnClickedBtnStartHook()
{
	HookOn();
}

//停止HOOK MessageBoxW
void CHookNoAsmDlg::OnBnClickedBtnStopHook()
{
	HookOff();
}

//调用MessageBoxW
void CHookNoAsmDlg::OnBnClickedBtnCallMsgw()
{
	::MessageBoxW(m_hWnd,L"这是真正的MessageBoxW",L"测试",0);
}

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

本例子VS2008+MFC源码下载:不用汇编实现HOOK.zip

http://download.csdn.net/detail/friendan/6349835

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

您的十分满意是我追求的宗旨。

您的一点建议是我后续的动力。





friendan
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
不用汇编实现HOOK.zip
10-03
不用汇编实现HOOK.zip
汇编 -- Hook APIMessageBoxW)
weixin_33696106的博客
06-24 250
说到HOOK。我看了非常多的资料和教程。无奈就是学不会HOOK。不懂是我的理解能力差。还是你们说的 不够明确,直到我看了下面这篇文章,最终学会了HOOK: http://blog.sina.com.cn/s/blog_628821950100xmuc.html    //感谢文章作者的分享,让我学会了HOOK 文章出处,好像是这篇:http://blog.csdn...
不常用汇编指令
darthas的专栏
08-11 481
1. stos,stosb,stosw   将eax,al,ax中的值
hook什么意思_为什么使用汇编可以 Hook objc_msgSend(下)- 实现与分析
weixin_39770592的博客
12-01 523
背景在上一篇「为什么使用汇编可以 Hook objc_msgSend(上)- 汇编基础」中,我们介绍了 ARM64 中的汇编基础,并且知道了在汇编当中,调用一个方法的前后在栈空间是怎样表现的,以及内存中的几个特殊寄存器是如何操作的。今天这篇文章,我们来详细详细分析一下使用汇编Hook objc_msgSend 的全部流程。Hook 思路梳理对于 objc_msgSend 这个我们要 Hook ...
Hook自己程序的MessageBoxW.zip
10-01
Hook自己程序的MessageBoxW.zip VS2008+MFC源码和成品
纯C#实现Hook功能详解
08-31
总的来说,纯C#实现Hook功能是一项挑战性的任务,需要深入理解.NET运行时、汇编语言以及多线程编程。通过巧妙地结合C#和汇编,作者成功创建了一个能够Hook .NET方法的类库,实现了在C#中进行函数拦截和控制的功能。
APIHOOK MessagebBoxA MessageBoxW
11-28
本例中,我们将深入探讨如何使用APIHOOK来修改`MessageBoxA`和`MessageBoxW`这两个函数。 `MessageBoxA`和`MessageBoxW`是Windows API中的函数,它们用于显示一个带有指定文本和按钮的对话框。`MessageBoxA`处理...
汇编语言编写ApiHook钩子代码.zip
03-28
汇编语言编写ApiHook钩子代码.zip
Hook所有程序的MessageBox.zip
10-01
Hook所有程序的MessageBox.zip VS2008源码和成品 熟悉API的都知道,系统中没有MessageBox,有的只是MessageBoxA和MessageBoxW, 因此HOOK MessageBox,其实是HOOK MessageBoxA和MessageBoxW。
代码注入 API HOOK(非DLL)[转]
cpongo11的博客
10-14 145
代码注入 API HOOK(非DLL)[转] 原文:http://blog.csdn.net/dalixux/archive/2008/10/14/3072436.aspx使用代码注入实现进程隐藏 而不是使用DLL注入实现进程隐藏 没有什么高级技术 纯体力活 原理就不说了 只是没有通过DLL注入实现HOOK API从核心编程 以来 似乎 一提到C注入 ...
汇编HooK
qq_35426012的博客
11-05 944
设计思路 远程申请内存 利用汇编指令在系统API开头劫持跳转 当自己的代码执行完再重新跳转回目标API 示例代码如下 386 .model flat, stdcall ;32 bit memory model option casemap :none ;case sensitive include Inject.inc .code InjectCode: pop ea...
Hook API
09-18 428
文章标题】汇编ring3下实现HOOK API1. 内容2. 介绍2.1 什么叫Hook API?2.2 API Hook的应用介绍2.3 API Hook的原则3. 挂钩方法3.1 改写IAT导入表法3.2 改写内存地址JMP法4. 汇编实现4.1. 代码 4.2. 分析5. 结束语=====[ 2. 介绍 ]===========================================
IAT HOOK 代码注入非DLL
Lassewang的成长历程
12-20 1343
Iat_Hook.h //头文件 #include #include #include #include #include #include #include "Winternl.h" #pragma comment(lib, "imagehlp") //类型声明 typedef int NTSTATUS; typedef BOOL (__stdcall *ENUMPROCESS
为什么使用汇编可以 Hook objc_msgSend(下)- 实现与分析
Desgard_Duan
08-05 1733
背景在上一篇「为什么使用汇编可以 Hook objc_msgSend(上)- 汇编基础」中,我们介绍了 ARM64 中的汇编基础,并且知道了在汇编当中,调用一个方法的前后在栈空间是怎样表...
16位汇编 Hook int 0实例
十年磨一剑,霜刃未曾试!
09-03 996
div除法溢出之后, 会调用中断0, 显示Divide overflow,  我们修改中断向量表里对应的0号中断的处理地址, 将我们的代码执行起来, 达到hook的目的 assume cs:code code segment start: ;写入新的int 0地址 mov ax,0 mov es,ax mov word ptr es:[0*4],0200h
自己写的一个HOOKAPI汇编例子
xbin1981的博客
06-07 811
;************************************************ ;程序作者:晓斌 ;QQ:6750333        xbin1981 ;************************************************ .586 .model flat, stdcall option casemap :none include w
Android系统篇之----免root实现Hook系统服务拦截方法
chuyouyinghe的专栏
09-29 6413
技术概念来源:[ 360开源插件框架,项目地址:https://github.com/DroidPluginTeam/DroidPlugin ] 一、Binder机制回顾 在之前一篇文章中介绍了 Android中的Binder机制和系统远程服务调用机制,本文将继续借助上一篇的内容来实现Hook系统服务拦截指定方法的逻辑,了解了上一篇文章之后,知道系统的服务其实都是一个远程B
第十章 Hook注入(一)(Hook 的类型)
zlmm741的博客
04-17 1562
文章目录Hook注入Hook 的类型Dalvik HookART HookLD_PRELOAD HOOKGOT HookInline Hook Hook注入 软件加密技术不断更新迭代,攻防双方水平不断提升,单纯的静态级别的安全对抗已很少出现,分析人员面对得更多的是高强度的代码加密技术和程序防篡改技术,在此背景下,新的软件分析技术 —— Hook注入应运而生 反编译 APK、修改或添加...
深入解析内核 Inline Hook 实现
"详谈内核的Inline Hook实现" 本文深入探讨了内核级Inline Hook的原理和实现,Inline Hook是一种强大的技术,它允许我们在函数执行过程中插入自定义的行为,以达到控制或过滤函数操作的目的。在理解Inline Hook之前...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

friendan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值