HOOK GetMessageTime有感

最新推荐文章于 2023-05-23 23:11:13 发布
最新推荐文章于 2023-05-23 23:11:13 发布
阅读量1.8k 收藏
点赞数
分类专栏: 游戏辅助 HOOK 文章标签: HOOK GetMessageTime
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendan/article/details/49149667
版权

参考文章:http://www.codeproject.com/Articles/21414/Powerful-x-x-Mini-Hook-Engine

Mini-Hook-Engine下载:http://download.csdn.net/detail/friendan/9182677

-----------------------------------------------------------------------------------------------------

我使用 Detours和Mini-Hook-Engine来HOOK GetMessageTime都没有成功,

Detours直接返回失败,Mini-Hook-Engine虽然成功写了JMP,但在HOOK后,调用原GetMessageTime时出错了,原因是其Bridge写错了。。。

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

先Copy下Mini-Hook-Engine的原理,后面我们写自己的Bridge时用到:



Let's make a real world example. If the first instructions of the function/API we want to hook are:

mov edi, edi
push ebp
mov ebp, esp
xor ecx, ecx

They will be replaced by our:

00400000 jmp our_code
00400005 xor ecx, ecx

Our bride will look like this:

mov edi, edi
push ebp
mov ebp, esp
jmp 00400005
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

我们来看看GetMessageTime的汇编代码:

// GetMessageTime入口原始汇编指令
7608F600 6A 0A                push        0Ah  
7608F602 E8 C7 17 FE FF       call        76070DCE  
7608F607 C3                   ret  
7608F608 81 C2 58 07 00 00    add         edx,758h  
7608F60E E9 B0 27 FE FF       jmp         76071DC3  
7608F613 50                   push        eax  
7608F614 6A 00                push        0
...


// 使用Mini Hook-Engine后,GetMessageTime入口汇编指令被修改如下
7608F600 FF 25 06 F6 08 76    jmp         dword ptr ds:[7608F606h]  
7608F606 18 AB 5B 0F 58 07    sbb         byte ptr [ebx+7580F5Bh],ch  
7608F60C 00 00                add         byte ptr [eax],al  
7608F60E E9 B0 27 FE FF       jmp         76071DC3  
7608F613 50                   push        eax  
7608F614 6A 00                push        0  
...


// Mini Hook-Engine对GetMessageTime的Bridge如下
001E0000 EB 05                jmp         001E0007  
001E0002 90                   nop  
001E0003 90                   nop  
001E0004 90                   nop  
001E0005 90                   nop  
001E0006 90                   nop  
001E0007 FF 25 40 0C E6 74    jmp         dword ptr ds:[74E60C40h]  
001E000D FF 25 13 00 1E 00    jmp         dword ptr ds:[1E0013h]  
001E0013 19 11                sbb         dword ptr [ecx],edx  
001E0015 E6 74                out         74h,al  
001E0017 6A 0A                push        0Ah  			// GetMessageTime原入口第一条指令		
001E0019 E8 C7 17 FE FF       call        001C17E5  // 这里错了。。。,原函数是:call 76070DCE 
001E001E C3                   ret  
001E001F 81 C2 58 07 00 00    add         edx,758h  
001E0025 FF 25 2B 00 1E 00    jmp         dword ptr ds:[1E002Bh]  
001E002B 0E                   push        cs  
001E002C ??                   db          f6h  
001E002D 08 76 00             or          byte ptr [esi],dh  
001E0030 00 00                add         byte ptr [eax],al  
001E0032 00 00                add         byte ptr [eax],al  
001E0034 00 00                add         byte ptr [eax],al  
001E0036 00 00                add         byte ptr [eax],al

----------------------------------------------------------------------------------------------------------------------

知道了错误原因,我继续使用Mini Hook-Engine来HOOK GetMessageTime,不过Bridge我们得自己写:

我的Bridge代码如下:

VOID  __declspec(naked) GetMessageTime_Bridge(VOID)
{
    _asm
    {
		push  0xA
		//call  g_iGetMessageTimeCallAddr // 这里动态写入,先用5个nop来占位
		nop
		nop
		nop
		nop
		nop
		ret
		//jmp iJmpAddr // 这里动态写入,先用5个nop来占位
		nop
		nop
		nop
		nop
		nop
    }
}


我们的GetMessageTime, HOOK后,GetMessageTime会跳到这里: 

LONG WINAPI MyGetMessageTime(VOID)
{
	// 调用原函数
	LONG liRet = 0;
	LONG (WINAPI *pGetMessageTime)(VOID) = NULL;
	//pGetMessageTime = (LONG (__stdcall *)(void))NtHookEngine_GetOriginalFunction((ULONG_PTR)MyGetTickCount);
	pGetMessageTime = (LONG (__stdcall *)(void))GetMessageTime_Bridge;
	if (pGetMessageTime != NULL)
	{
		liRet = pGetMessageTime();
	}

	return liRet;
}

最重要的HOOK GetMessageTime函数: 

VOID Hook_GetMessageTime(VOID)
{
	// E8 C7 17 FE FF       call        76070DCE 
	DWORD dwOldProtect = 0;
	VirtualProtect(TrueGetMessageTime, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);

	// 这里得到C7 17 FE FF
	int iCallAddr = 0;
	memcpy((VOID*)&iCallAddr, (VOID*)((INT)TrueGetMessageTime + 3), 4);	

	// 将C7 17 FE FF还原成76070DCE
	// ((int)TrueGetMessageTime + 7) == CALL的下一行地址
	iCallAddr = iCallAddr + ((int)TrueGetMessageTime + 7);  

	VirtualProtect(TrueGetMessageTime, 5, dwOldProtect, NULL);

	// 修正我们的GetMessageTime_Bridge
	int iAddr = (int)GetMessageTime_Bridge;
	byte bData[5] = {0};
	byte bKey[5]  = {0x90, 0x90, 0x90, 0x90, 0x90};
	while(true)
	{
		// 查找那5个nop指令的首地址
		VirtualProtect((VOID*)iAddr, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
		memcpy(bData, (VOID*)iAddr, 5);
		VirtualProtect((VOID*)iAddr, 5, dwOldProtect, NULL);
		if (memcmp(bData, bKey, 5) != 0)
		{
			iAddr ++;
			continue;
		}

		
		VirtualProtect((VOID*)iAddr, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);

		// 写入 call     76070DCE 
		// 目标地址 - 当前指令地址的下个指令地址 = 距离
		*((byte*)iAddr) = 0xE8;
		*((int*)(iAddr + 1)) = iCallAddr - (iAddr + 5);

		// 写入 jmp 7608F60C
		// 目标地址 - JMP指令所在地址 - 5 = JMP地址
		*((byte*)(iAddr + 6)) = 0xE9;
		*((int*)(iAddr + 7)) =  ((int)TrueGetMessageTime + 0xC) - (iAddr + 6) - 5;

		VirtualProtect((VOID*)iAddr, 5, dwOldProtect, NULL);
		break;
	}

	// HOOK GetMessageTime
	NtHookEngine_Hook((ULONG_PTR)TrueGetMessageTime, (ULONG_PTR)&MyGetMessageTime);
}

---------------------------------------------------------------------------------------------------

此次收获:

1. 懂得了Bridge的写法和用法,原来函数只是一个地址,我们强制转换就可以了:

LONG (WINAPI *pGetMessageTime)(VOID) = NULL;
pGetMessageTime = (LONG (__stdcall *)(void))GetMessageTime_Bridge;


2. 懂得了CALL 后面的地址的计算方法:

// 目标地址(76070DCE) - 当前CALL指令的下个地址 = CALL后面的4个字节数据:E8 C7 17 FE FF
*((byte*)iAddr) = 0xE8;
*((int*)(iAddr + 1)) = iCallAddr - (iAddr + 5);









message hook
reaL's Blog
08-19 2173
简单的 WH_GETMESSAGE 钩子的使用。 MessageHook.h #ifndef __MessageHook_h__ #define __MessageHook_h__ #include #include #ifdef __cplusplus
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
06-26
在IT行业中,Hook技术是一种非常重要的调试和系统监控手段,它允许我们拦截并处理特定的系统调用、函数调用或者API调用。本示例着重讲解如何实现一个通用的Hook机制,能够理论上Hook任意地址并获取寄存器数据。我们...
windows message hook
08-19
windows mfc message hook
Hook GetMessage
12-21 232
Hook GetMessage 代码 unit Unit1;interfaceuses Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls;const WM_TestMessage = WM_USER + 2000;type TForm1 = class...
GetMessageTime
科学研究
03-29 193
GetMessageTime 内容 GetMessageTime VB声明 Declare Function GetMessageTime Lib "user32" Alias "GetMessageTime" () As Long 说明 取得消息队列中上一条消息处理完毕时的时间 返回值 Long,返回一个时间,表示为自系统启动以来经历的毫秒数 原文:The time
消息hook
最新发布
Tandy12356_的博客
05-23 3015
使用消息hook实时查看你的好基友的聊天记录!
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
微信Hook教程(易语言)
06-14
### 微信Hook教程(易语言) #### 一、Hook技术概述 Hook技术在软件开发领域扮演着重要的角色,尤其在实现特定功能扩展或者调试分析时。本教程将重点介绍如何利用易语言进行微信Hook操作。 #### 二、Hook原理简述...
EasyHook-2.7.6270.0.zip_c# easy hook_easyhook_easyhook 2.7_eas
09-24
EasyHook是一款强大的、开源的.NET库,用于在托管代码中实现远程函数钩子(Remote Function Hooking)。在标题和描述中提到的"EasyHook-2.7.6270.0.zip"是一个包含EasyHook库版本2.7.6270.0的压缩包,适用于C#开发者...
DxHookDll.rar_D3D HOOK_dxhook_dx开发_hook directx
07-15
在这个名为"DxHookDll.rar"的压缩包中,包含了一个名为"DxHookDll"的动态链接库(DLL)文件,它似乎是一个专门用于hook DirectX API的小工具。 首先,我们要理解什么是hook技术。Hook在编程中是一种拦截函数调用的...
如何HOOK桌面窗口消息
07-17
该DEMO实现了:如何HOOK桌面窗口消息 How to hook desktop message?
易语言客户端源码,易语言服务器源码,易语言P2P交互
07-19
易语言P2P交互源码,P2P交互,P2P监听,启动线程_,创建进入许可证_,删除进入许可证_,CreateThread1,CreateThread,关闭句柄,InitializeCriticalSection,DeleteCriticalSection,GetMessage,TranslateMessage,DispatchMessage,数据分析
深入PeekMessage,GetMessage HOOK_
mincheat的专栏
05-05 1724
该文重点讲述了Windows处理事件、消息的具体过程和步骤。尤其是在系系处理鼠标键盘事件的过程上做了详解。通过这篇文章,你将对Windows的消息处理机制有一个较全面的了解。  概念  这篇文章解释了GetMessage和PeekMessage的内部运作方式,同时也是一类与“消息及消息在16位 MS-DOS?/Microsoft? Windows?环境之下的影响”相关文章的
hook message
11-13 402
You can't make SetWindowsHookEx only give you thew events from a single window handle, but you can filter it yourself. If you are using the WH_CALLWNDPROC or WH_CALLWNDPROCRET (which you need to u
hook
Xcocode_ios的专栏
11-14 3155
上面只是介绍一种hook的使用方法,这里进行详细的介绍。 MobileHooker 用于替换覆盖系统的方法,这个过程被称为Hooking(挂钩). 将使用到3个API: IMP MSHookMessage(Class class, SEL selector, IMP replacement, const char* prefix); // prefix should be NULL
【日期、时区、时间】本地时间转UTC时间详解
热门推荐
m0_45406092的博客
04-03 1万+
/** * 把时间转化为utc时间格式 * * @param localTime * @return */ public static Date translatetoUtc(long localTime, TimeZone localZone) { Calendar cal = Calendar.getInstanc...
各种钩子函数-详解
wangjieest的专栏
12-28 6925
WH_SHELL 函数原形: LRESULT CALLBACK ShellProc( int nCode, WPARAM wParam,LPARAM lParam );函数功能: 挂钩处理过程是应用程序或库中定义的回调函数,它与函数 SetWindowsHookEx搭配使用.此函数从系统接受外壳(shell)通知.类型HOOKPROC定义了指向此类回调函数的指针.ShellProc时应用程序
专业Hook API源码文档解析
资源摘要信息:"hook_hookapi_hook_源码" Hook技术是计算机科学中的一个高级概念,尤其在操作系统、编程和安全领域有着广泛的应用。Hook技术允许开发者或研究人员“钩住”程序的正常执行流程,通过插入自定义代码来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

friendan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值