两种方法:
一、覆盖代码
1. 找到要拦截的函数地址
2. 保存起始的几个字节
3. 使用JUMP命令覆盖这几个字节,跳转到替代函数地址
4. 执行替代函数
5. 用第2步保存的字节恢复函数开始的几个字节
6. 正常调用被拦截函数
7. 再次循环2,3步调用替代函数
这种方法对于x86,x64,IA-64要分别编程,因为CPU JUMP指令不同。另外在抢占式的多线程环境中,不能工作,因为一个线程在覆盖地址时,另一个线程可能会调用同一个函数,导致灾难后果。
二、修改模块导入段(IAT表)
首先调用ImageDirectoryEntryToData,设置参数IMAGE_DIRECTORY_ENTRY获得导入段IMAGE_IMPORT_DESCRIPTOR
循环查找name属性是否和要hook的dll名称相同
如果相同,则获得其FirstThunk成员,循环查找成员的Function名称,如果是要hook的函数,则调用WriteProcessMemory替换为我们的函数
此方法需要对loadlibrary相关函数做处理,因为有可能hook后,程序又调用loadlibrary加载新dll,导致新dll中的没有被拦截
参考:windows核心编程