中转inline hook,不需要恢复首字节的hook

最新推荐文章于 2024-06-20 12:14:02 发布
最新推荐文章于 2024-06-20 12:14:02 发布
阅读量5.5k 收藏 5
点赞数
分类专栏: HOOK 文章标签: HOOK inline hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendan/article/details/43918299
版权

注:我实验的环境:win7 x64

经验证XP会有稍微区别,主要是我本次实验HOOK的API, 从XP到WIN7微软有了些许改变。

----------------------------------------------------------------------------------------------------------------------------------------

最近在看驱动教程时,从前人的HOOK得到启发,才有了本篇文章,在此甚是感激。

文章估计有些长,当是我的学习笔记了,适合有一定HOOK基础的盆友,

我写这篇文章的目的就是为了提高HOOK的效率。

本次我以HOOK GetProcAddress为例。

例子VS2010工程HookGetProcAddressTest.rar下载地址:

http://download.csdn.net/detail/friendan/8454859

--------------------------------------------------------------------------------------------------------------------------------

问题的提出:

以前我们HOOK时,第一步就是定义我们自己假的API了,如:

FARPROC WINAPI MyGetProcAddress(
    __in HMODULE hModule,
    __in LPCSTR lpProcName
    );

在我们假的API中,一般做法如下: 

FARPROC WINAPI MyGetProcAddress(__in HMODULE hModule, __in LPCSTR lpProcName)
{
    // 1.记录参数
    // 2.修改参数
    // 3.修改返回值
    // 4.恢复HOOK,调用原函数,然后再HOOK
    // ...
}

问题就出在第4步了,如果是多线程的环境,在恢复HOOK时,我们可能会漏HOOK

-----------------------------------------------------------------------------------------------------------------------------------------------------

问题的解决:

       为了不恢复HOOK,也能调用原API,我加了一个中转函数,该函数没有参数,也没有返回值,

没有参数和没有返回值是为了保持堆栈的平衡,该函数声明如下:

void GetProcAddressProxy(void);

实现如下: 

__declspec(naked) void GetProcAddressProxy(void)
{
    // 先执行原来的代码,再跳到原地址+5处执行
    __asm
    {
        // 原函数入口代码
        mov edi,edi
        push ebp
        mov ebp,esp

        // 调用我们的过滤函数
        push [ebp+0xC]  // 参数lpProcName
        push [ebp+0x8]  // 参数hModule
        call MyGetProcAddress
        
        // 跳到原函数首地址+5处执行,因为其前面的5字节已经被我们修改了
        mov eax, g_iOldGetProcAddress
        add eax, 5
        jmp eax
    }
}

可以看出在中转函数中调用了我们的过滤函数即假API了,本次实验,我的假API主要功能为替换参数和替换返回值,

主要代码如下:

FARPROC WINAPI MyGetProcAddress(__in HMODULE hModule, __in LPCSTR lpProcName)
{
    printf("MyGetProcAddress: hModule=0x%X, lpProcName=%s \n", hModule, lpProcName);

    // 如果是Sleep,我们将其替换成不存在的一个函数
    if (strcmp(lpProcName, "Sleep") == 0)
    {
        DisabeMemoryProtect((int)lpProcName, strlen(lpProcName));
        strcpy((char*)lpProcName, "Slee8"); // 函数名不能比原来的长哈
        EnableMemoryProtect((int)lpProcName, strlen(lpProcName));
    }

    // 如果是要过滤的函数
    if (strcmp(lpProcName, "LoadLibraryW") == 0)
    {
        // 获取KernelBa.GetProcAddress入口地址
        // 7564122F  - FF25 280B6475   jmp dword ptr ds:[<&API-MS-Win-Core-LibraryLoader-L1-1-0.GetProcAd>; KernelBa.GetProcAddress
        // win7 64
        if (*(byte*)(g_iOldGetProcAddress+6) == 0xEB)
        {
            g_iGetProcAddressHookAddr = g_iOldGetProcAddress + 15;
            g_iGetProcAddressHookAddr = *(int*)g_iGetProcAddressHookAddr;
            g_iGetProcAddressHookAddr = *(int*)g_iGetProcAddressHookAddr;
        }
        // xp
        if (*(byte*)(g_iOldGetProcAddress+6) == 0x51)
        {
             g_iGetProcAddressHookAddr = g_iOldGetProcAddress;
        }

        // 从函数入口寻找特征码,找到要替换的起始地址
       /*76121E83   8B45 0C         mov eax,dword ptr ss:[ebp+0xC]	;获取到的函数地址 
        76121E86    5F              pop edi
        76121E87    5B              pop ebx
        76121E88    C9              leave
        76121E89 >  C2 0800         retn 0x8 ; 返回用户层
        76121E8C    CC              int3
        76121E8D    CC              int3
        76121E8E    CC              int3
        76121E8F    CC              int3
        76121E90    CC              int3*/
        byte bSpecialCode[9] = {0x8B, 0x45, 0x0C, 0x5F, 0x5B, 0xC9, 0xC2, 0x08, 0x00};
        g_iGetProcAddressHookAddr = FindSpecialCode(g_iGetProcAddressHookAddr, bSpecialCode, sizeof(bSpecialCode));
        if (g_iGetProcAddressHookAddr <= 0)
        {
            return 0;
        }
        //ShowMemoryData(g_iGetProcAddressHookAddr, 14);

        // 旧函数的尾部代码
        byte bOldCode[14] = {0x8B, 0x45, 0x0C, 0x5F, 0x5B, 0xC9, 0xC2, 0x08, 0x00, 0xCC, 0xCC, 0xCC, 0xCC, 0xCC};

        // 替换原来的0x8B, 0x45, 0x0C,即替换mov eax,dword ptr ss:[ebp+0xC]
        // 76071242    B8 78563412     mov eax,0x12345678
        byte bNewCode[11] = {0xB8, 0x90, 0x90, 0x90, 0x90, 0x5F, 0x5B, 0xC9, 0xC2, 0x08, 0x00}; 

        DisabeMemoryProtect(g_iGetProcAddressHookAddr, sizeof(bNewCode));
        memcpy((void*)g_iGetProcAddressHookAddr, bNewCode, sizeof(bNewCode));
        *(int*)(g_iGetProcAddressHookAddr + 1) = (int)LoadLibraryI;     // 将4个0x90替换成我们的函数地址
        g_bIsModifyGetProcAddressHookAddr = true;
        EnableMemoryProtect(g_iGetProcAddressHookAddr, sizeof(bNewCode));
       // ShowMemoryData(g_iGetProcAddressHookAddr, 14);
    }
    else
    {
        // 恢复被我们修改过的指令
        // 旧函数的尾部代码
        byte bOldCode[14] = {0x8B, 0x45, 0x0C, 0x5F, 0x5B, 0xC9, 0xC2, 0x08, 0x00, 0xCC, 0xCC, 0xCC, 0xCC, 0xCC};
        if (g_bIsModifyGetProcAddressHookAddr)
        {
            DisabeMemoryProtect(g_iGetProcAddressHookAddr, sizeof(bOldCode));
            memcpy((void*)(g_iGetProcAddressHookAddr), bOldCode, sizeof(bOldCode));
            g_bIsModifyGetProcAddressHookAddr = false;
            EnableMemoryProtect(g_iGetProcAddressHookAddr, sizeof(bOldCode));
        }
    }
    
    return 0;
}

---------------------------------------------------------------------------------------------------------------------------------------------------------------------

在HOOK时,我们让原API跳到我们的中转函数即可,我HOOK的实现代码如下:

void HookGetProcAddress(bool bIsHook)
{
    // 为方便OD调试,加入的特征码
    __asm
    {
        mov eax, eax
        mov ebx, ebx
        mov ecx, ecx
    }

    // HOOK GetProcAddress
    if (bIsHook)
    {
        // 取GetProcAddress地址
        g_iOldGetProcAddress = (int)GetProcAddress(LoadLibrary(_T("Kernel32.dll")), "GetProcAddress");
        if (g_iOldGetProcAddress <= 0)
        {
            return;
        }

        // 修改函数前5个字节,使其跳到我们的函数GetProcAddressProxy
        DisabeMemoryProtect(g_iOldGetProcAddress, 5);
        int iJmpAddr = (int)GetProcAddressProxy - g_iOldGetProcAddress - 5;
        *(byte *)g_iOldGetProcAddress = 0xE9; // jmp
        *(int *)(g_iOldGetProcAddress + 1) = iJmpAddr; 
        EnableMemoryProtect(g_iOldGetProcAddress, 5);
    }

    // UNHOOK GetProcAddress
    if (!bIsHook && g_iOldGetProcAddress > 0)
    {
        // 恢复函数前5个字节
        // 8B FF 55 8B EC
        byte bBeginCode[5] = {0x8B,0xFF, 0x55, 0x8B, 0xEC};
        DisabeMemoryProtect(g_iOldGetProcAddress, sizeof(bBeginCode));
        memcpy((void*)g_iOldGetProcAddress, bBeginCode, sizeof(bBeginCode));
        EnableMemoryProtect(g_iOldGetProcAddress, sizeof(bBeginCode));

        // 恢复被我们修改过的指令
        // 旧函数的尾部代码
        byte bOldCode[14] = {0x8B, 0x45, 0x0C, 0x5F, 0x5B, 0xC9, 0xC2, 0x08, 0x00, 0xCC, 0xCC, 0xCC, 0xCC, 0xCC};
        if (g_bIsModifyGetProcAddressHookAddr)
        {
            DisabeMemoryProtect(g_iGetProcAddressHookAddr, sizeof(bOldCode));
            memcpy((void*)(g_iGetProcAddressHookAddr), bOldCode, sizeof(bOldCode));
            g_bIsModifyGetProcAddressHookAddr = false;
            EnableMemoryProtect(g_iGetProcAddressHookAddr, sizeof(bOldCode));
        }
    }
}

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------


效果截图如下:


-------------------------------------------------------------------------------------------------------------------------------------------------

帖下我在WIN7 X64使用OD得出GetProcAddress的反汇编代码:

// bp Kernel32.GetProcAddress
75641222 >  8BFF            mov edi,edi     ; GetProcAddresss入口
75641224    55              push ebp
75641225    8BEC            mov ebp,esp
75641227    5D              pop ebp
75641228    EB 05           jmp X<jmp.&API-MS-Win-Core-LibraryLoader-L1-1-0.GetProcAddress>
7564122A    90              nop
7564122B    90              nop
7564122C    90              nop
7564122D    90              nop
7564122E    90              nop
7564122F  - FF25 280B6475   jmp dword ptr ds:[<&API-MS-Win-Core-LibraryLoader-L1-1-0.GetProcAd>; KernelBa.GetProcAddress
75641235    90              nop
75641236    90              nop

76121E15 >  8BFF            mov edi,edi ; KernelBa.GetProcAddress入口地址
76121E17    55              push ebp
76121E18    8BEC            mov ebp,esp
76121E1A    51              push ecx
76121E1B    51              push ecx
76121E1C    53              push ebx
76121E1D    57              push edi
76121E1E    8B7D 0C         mov edi,dword ptr ss:[ebp+0xC]
76121E21    BB FFFF0000     mov ebx,0xFFFF
76121E26    3BFB            cmp edi,ebx
76121E28    76 17           jbe XKernelBa.76121E41
76121E2A    57              push edi
76121E2B    8D45 F8         lea eax,dword ptr ss:[ebp-0x8]
76121E2E    50              push eax
76121E2F    FF15 AC121176   call dword ptr ds:[<&ntdll.RtlInitString>]                         ; ntdll_1a.RtlInitString
76121E35    8D45 0C         lea eax,dword ptr ss:[ebp+0xC]
76121E38    50              push eax
76121E39    6A 00           push 0x0
76121E3B    8D45 F8         lea eax,dword ptr ss:[ebp-0x8]
76121E3E    50              push eax
76121E3F    EB 07           jmp XKernelBa.76121E48
76121E41    8D45 0C         lea eax,dword ptr ss:[ebp+0xC]
76121E44    50              push eax
76121E45    57              push edi
76121E46    6A 00           push 0x0
76121E48    6A 00           push 0x0
76121E4A    FF75 08         push dword ptr ss:[ebp+0x8]
76121E4D    E8 C05E0200     call KernelBa.76147D12
76121E52    50              push eax
76121E53    FF15 A8121176   call dword ptr ds:[<&ntdll.LdrGetProcedureAddress>]                ; ntdll_1a.LdrGetProcedureAddress
76121E59    85C0            test eax,eax
76121E5B    7D 0A           jge XKernelBa.76121E67
76121E5D    50              push eax
76121E5E    E8 1F590200     call KernelBa.76147782
76121E63    33C0            xor eax,eax
76121E65    EB 1F           jmp XKernelBa.76121E86
76121E67    6A 00           push 0x0
76121E69    FF75 08         push dword ptr ss:[ebp+0x8]
76121E6C    E8 A15E0200     call KernelBa.76147D12
76121E71    3945 0C         cmp dword ptr ss:[ebp+0xC],eax
76121E74    75 0D           jnz XKernelBa.76121E83
76121E76    3BDF            cmp ebx,edi
76121E78    1BC0            sbb eax,eax
76121E7A    F7D8            neg eax
76121E7C    05 380100C0     add eax,0xC0000138
76121E81  ^ EB DA           jmp XKernelBa.76121E5D
76121E83    8B45 0C         mov eax,dword ptr ss:[ebp+0xC];获取到的函数地址
76121E86    5F              pop edi
76121E87    5B              pop ebx
76121E88    C9              leave
76121E89 >  C2 0800         retn 0x8 ; 返回用户层
76121E8C    CC              int3
76121E8D    CC              int3
76121E8E    CC              int3
76121E8F    CC              int3
76121E90    CC              int3
---------------------------------------------------------------------------------------------------------------------------------------------

帖下我在XP使用OD得出GetProcAddress的反汇编代码:
7C80AE40 >  8BFF            MOV     EDI, EDI                         ; kernel32.7C800000
7C80AE42    55              PUSH    EBP
7C80AE43    8BEC            MOV     EBP, ESP
7C80AE45    51              PUSH    ECX
7C80AE46    51              PUSH    ECX
7C80AE47    53              PUSH    EBX
7C80AE48    57              PUSH    EDI
7C80AE49    8B7D 0C         MOV     EDI, DWORD PTR SS:[EBP+0xC]
7C80AE4C    BB FFFF0000     MOV     EBX, 0xFFFF
7C80AE51    3BFB            CMP     EDI, EBX
7C80AE53  ^ 0F86 D1F2FFFF   JBE     kernel32.7C80A12A
7C80AE59    57              PUSH    EDI
7C80AE5A    8D45 F8         LEA     EAX, DWORD PTR SS:[EBP-0x8]
7C80AE5D    50              PUSH    EAX
7C80AE5E    FF15 9412807C   CALL    NEAR DWORD PTR DS:[<&ntdll.RtlIn>; ntdll.RtlInitString
7C80AE64    8D45 0C         LEA     EAX, DWORD PTR SS:[EBP+0xC]
7C80AE67    50              PUSH    EAX
7C80AE68    6A 00           PUSH    0x0
7C80AE6A    8D45 F8         LEA     EAX, DWORD PTR SS:[EBP-0x8]
7C80AE6D    50              PUSH    EAX
7C80AE6E    6A 00           PUSH    0x0
7C80AE70    FF75 08         PUSH    DWORD PTR SS:[EBP+0x8]
7C80AE73    E8 1CEBFFFF     CALL    kernel32.7C809994
7C80AE78    50              PUSH    EAX
7C80AE79    E8 B7FFFFFF     CALL    <JMP.&ntdll.LdrGetProcedureAddre>
7C80AE7E    85C0            TEST    EAX, EAX
7C80AE80    0F8C F6840000   JL      kernel32.7C81337C
7C80AE86    6A 00           PUSH    0x0
7C80AE88    FF75 08         PUSH    DWORD PTR SS:[EBP+0x8]
7C80AE8B    E8 04EBFFFF     CALL    kernel32.7C809994
7C80AE90    3945 0C         CMP     DWORD PTR SS:[EBP+0xC], EAX
7C80AE93    0F84 B65F0300   JE      kernel32.7C840E4F
7C80AE99    8B45 0C         MOV     EAX, DWORD PTR SS:[EBP+0xC]
7C80AE9C    5F              POP     EDI
7C80AE9D    5B              POP     EBX
7C80AE9E    C9              LEAVE
7C80AE9F    C2 0800         RETN    0x8 ; 函数之后的数据和WIN7不一样
7C80AEA2    837D 10 00      CMP     DWORD PTR SS:[EBP+0x10], 0x0
7C80AEA6  ^ 0F85 07E5FFFF   JNZ     kernel32.7C8093B3
7C80AEAC    33FF            XOR     EDI, EDI
7C80AEAE  ^ E9 07E5FFFF     JMP     kernel32.7C8093BA








friendan
关注
专栏目录
黑客爱用的 HOOK 技术
dzqxwzoe的博客
03-05 1301
上面几种 HOOK,修改的都是应用层的函数指针,而操作系统内核中还有一些非常重要的表格,它们的表项中记录了一些更加关键的函数,HOOK 这些表格中的函数是非常高危的操作,操作不当将导致操作系统崩溃。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。执行系统调用的时候,CPU 将从用户模式切换到内核模式,进入内核后,将会根据系统调用的 API 编号,去找到对应的系统服务函数,实现对应 API 的功能。
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
ARM64汇编0C - inlinehook
最新发布
a5right的博客
06-20 797
本文是ARM64汇编系列的完结篇,主要利用前面学过的知识做一个小实验完整系列博客地址:https://www.lyldalek.top/article/arm这里只讨论 ARM64 下的 inlinehook,做一个简单的demo,只是抛砖引玉,有兴趣了解更多细节的可以去查找资料,看开源项目。ARM64 相比 ARM 的 inlinehook 要麻烦不少,因为有很多指令都没了,且无法直接访问 PC 寄存器。
内核级HOOK的几种实现与应用
ljtt的专栏
06-24 1098
页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们 添加文章 English Version  文章分类  专题文章 漏洞分析 安全配置 黑客教学 编程技术 工具介绍 火墙技术 入侵检测 破解专题 焦点公告 焦点峰会  文章推荐  LSD RPC 溢出漏洞之分析 任意用户模式下执行 ring 0 代码 IIS的NSIISLOG.
Hook攻防之InlineHook
xf555er的博客
06-16 1802
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
HOOK地址还原
weixin_30675247的博客
09-09 201
H头文件 ////////////////////////////////////////////////////////////////////// ////////////////////////////////////////////////////////////////////// typedef struct _ServiceDescriptorTable { PVOID S...
Inline Hook_inlinehook_x86_x64_64HOOK_
09-28
Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,从而在不改变原有函数调用结构的情况下,动态改变函数的功能或行为。这种技术在系统监控、恶意软件分析、游戏修改以及性能优化等...
代码实例分析android中inline hook
08-28
在实现注入函数时,我们需要编写一个 hook_inline_make 函数,该函数将被注入到目标函数中。该函数将执行用户指定的代码,然后执行被替换掉的原指令。例如,在本实例代码中,我们使用 hook_inline_make 函数来将 my_...
使用内核三步实现InlineHook的详细分析
07-06
且这种深层次的inlineHook不具有通用性。稳定性也是问题。本文讨论的是具有通用性的两类inlineHook的实现.   Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的...
inline hook 源码
11-14
在**x86**架构上,由于指令长度不固定,inline hook相对复杂。通常,我们需要保存原函数条指令,然后替换为跳转指令(如`jmp`)到stub。在stub执行完毕后,需要恢复原函数的指令并跳回,以保证原有的执行流程。...
如何区分ssdt hookinline hook钩子
01-25
Inline Hook具有更高的隐蔽性,因为它不需要修改SSDT,但其局限性在于只能对可写可执行的内存进行操作,并且对于动态加载的代码或受保护的内存,Inline Hook可能会失败。 **两者的区别** 1. **拦截范围**:SSDT ...
HookGetProcAddressTest.rar
02-23
inline hook 中转HOOK 具体请看我的文章: http://blog.csdn.net/friendan/article/details/43918299
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
GetProcAddress
mpp_king的博客
02-26 8198
GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。  函数原型:  FARPROC GetProcAddress(  HMODULE hModule, // DLL模块句柄  LPCSTR lpProcName // 函数名  ); 参数: hModule  [in] 包含此函数的DLL模块的句柄。LoadLibrary、AfxLoadLibrary 或者GetMo...
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
翻肚鱼儿的博客
07-27 1835
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。 最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进.
Ring3 下 API Inline Hook 优化方案探索与实现
zuishikonghuan的博客
05-03 7411
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/51302024  以前写过两篇“[Win32] API Hook(1)在32/64位系统上的实现”博客,介绍并给出了 API inline hook 代码,如下: bl
完美实现GetProcAddress
weixin_34395205的博客
12-17 739
2019独角兽企业重金招聘Python工程师标准>>> ...
深入解析内核 Inline Hook 实现
在实现Inline Hook时,堆栈平衡至关重要,因为函数调用通常涉及参数压栈,不正确的堆栈管理可能导致程序崩溃或异常。在R0模式下,内存默认是只读的,因此需要解除写保护并修改CR0寄存器以允许写入。另外,为了防止...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

friendan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值