64位的Win7下拦截malloc函数

最新推荐文章于 2023-06-05 17:11:09 发布
最新推荐文章于 2023-06-05 17:11:09 发布
阅读量1.4k 收藏 3
点赞数
文章标签: hook 64位 win7 release
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jfu22/article/details/70215527
版权

目前大多数项目都在64位系统下开发,很多时候不知道是否malloc溢出,所以我专门花了些时间,写了一个如何拦截malloc的示例程序。


注意该程序必须在64位Release版本下运行,如果是DeBug版本的话,因为编译器没做优化和加了一些debug代码,所以会内存读写报错


// 说明:此test.cpp文件为win7下,对msvcr100.dll动态库中的maollc函数的hook测试文件,
//       即拦截win7平台下Release版本的malloc函数
// 
// 作者:过客
// 邮箱:386520874@qq.com
// 日期:2017.04.17


#include "stdafx.h"
#include <windows.h>
#include <stdlib.h>


typedef HANDLE (__stdcall * PFN_GETCURRENTPROCESS)(void);
typedef BOOL (__stdcall * PFN_WRITEPROCESSMEMORY)(HANDLE, LPVOID, LPCVOID, SIZE_T, SIZE_T *);
typedef DWORD (__stdcall * PFN_GETCURRENTTHREADID)(void);

typedef void * (__cdecl * PFN_MALLOC)(size_t _Size);
typedef int (__cdecl * PFN_PRINTF)(const char * _Format, ...);


//------------------------------------------------
#pragma pack(1) //#pragma pack(push, 4) 说明:可以1字节对齐也可以4字节对齐,此处非常重要
typedef struct HOOK_PARAM
{
	DWORD pGetCurrentProcess;
	DWORD pWriteProcessMemory;
	DWORD pGetCurrentThreadId;
	DWORD pMalloc;
	DWORD pPrintf;
	long long malloc_param_1; //用于保存malloc的输入参数值
	long long nextIpAddr; //64位地址
	void * pMallocReturn; //用于保存malloc的返回值
	DWORD currentThreadId; //用于保存GetCurrentThreadId的返回值
	char oldCode[20];
	char newCode[20];
	char str[100];
	char str_format[100]; //printf的参数
}HOOK_PARAM;
#pragma pack() //#pragma pack(pop)


//------------------------------------------------
void * my_hook_malloc(void *lParam)
{
	HOOK_PARAM * p = (HOOK_PARAM *)lParam;

	PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)(p->pGetCurrentProcess);
	PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)(p->pWriteProcessMemory);
	PFN_GETCURRENTTHREADID pfnGetCurrentThreadId = (PFN_GETCURRENTTHREADID)(p->pGetCurrentThreadId);
	
	PFN_MALLOC pfnMalloc = (PFN_MALLOC)(p->pMalloc);
	PFN_PRINTF pfnPrintf = (PFN_PRINTF)(p->pPrintf);

	//恢复API原来的样子,即摘掉API钩子
	pfnWriteProcessMemory(pfnGetCurrentProcess(), (LPVOID)pfnMalloc, (LPCVOID)(p->oldCode), 20, NULL);
	
	//调用正常的malloc
	p->pMallocReturn = pfnMalloc(p->malloc_param_1);

	//调用win32 API GetCurrentThreadId()
	p->currentThreadId = pfnGetCurrentThreadId();

	//-------------------------------------------------
	pfnPrintf(p->str_format, p->currentThreadId, p->currentThreadId, p->malloc_param_1, p->malloc_param_1); //将hook到的信息打印出来

	return p->pMallocReturn; //将malloc申请的内存地址返回
}


//---------------------------------------
int _tmain(int argc, _TCHAR* argv[])
{
	//--------------------------
	HOOK_PARAM hook_param = {0};
	::GetCurrentThreadId();

	HMODULE hKernel32 = LoadLibraryA("kernel32.dll");
	HMODULE hMsvcr100 = LoadLibraryA("msvcr100.dll");

	hook_param.pGetCurrentProcess = (DWORD)GetProcAddress(hKernel32, "GetCurrentProcess");
	hook_param.pWriteProcessMemory = (DWORD)GetProcAddress(hKernel32, "WriteProcessMemory");
	hook_param.pGetCurrentThreadId = (DWORD)GetProcAddress(hKernel32, "GetCurrentThreadId");

	hook_param.pMalloc = (DWORD)GetProcAddress(hMsvcr100, "malloc");
	hook_param.pPrintf = (DWORD)GetProcAddress(hMsvcr100, "printf");

	hook_param.malloc_param_1 = 0x12345678;

//	sprintf(hook_param.str, "malloc(): size = ");
	sprintf(hook_param.str_format, "GetCurrentThreadId() = %%ld = 0x%%X;   malloc(): size = %%ld = 0x%%X;\n");

	//---------------------------------------------
	HANDLE hProcess = GetCurrentProcess();

	int size_Func = 1024 * 1;
	DWORD dwFunAddr = (DWORD)VirtualAllocEx(hProcess, NULL, size_Func, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); //在进程空间申请内存
	memset((void *)dwFunAddr, 0, size_Func);

	int size_Param = sizeof(HOOK_PARAM);
	DWORD dwParmaAddr = (DWORD)VirtualAllocEx(hProcess, NULL, size_Param, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); //在进程空间申请内存
	
	//---------------------------------------------
	hook_param.newCode[0] = 0x51; //push    rcx //将 char * p = (char *)malloc(0x0637); 的参数 0x0637 入栈
	hook_param.newCode[1] = 0x68; //0x68: push newcode[2..5],参数先压栈
	hook_param.newCode[2] = (dwParmaAddr << 24) >> 24;
	hook_param.newCode[3] = (dwParmaAddr << 16) >> 24;
	hook_param.newCode[4] = (dwParmaAddr << 8 ) >> 24;
	hook_param.newCode[5] = (dwParmaAddr << 0 ) >> 24;
	hook_param.newCode[6] = 0x59; //pop    ecx
	hook_param.newCode[7] = 0x67; //pop    qword ptr [ecx + 14h] // hook_param.malloc_param_1 = 0x0637; 将malloc(size);的size参数偷偷保存起来
	hook_param.newCode[8] = 0x8F;
	hook_param.newCode[9] = 0x41;
	hook_param.newCode[10] = 0x14;
	hook_param.newCode[11] = 0x48; //sub    rsp, 20h //目的是平衡栈
	hook_param.newCode[12] = 0x83;
	hook_param.newCode[13] = 0xEC;
	hook_param.newCode[14] = 0x18;

	int offsetaddr = dwFunAddr - (int)hook_param.pMalloc - 20;

	hook_param.newCode[15] = 0xE8; //0xE8: call newcode[16..19],然后调用函数 my_hook_malloc
	hook_param.newCode[16] = (offsetaddr << 24) >> 24;
	hook_param.newCode[17] = (offsetaddr << 16) >> 24;
	hook_param.newCode[18] = (offsetaddr << 8 ) >> 24;
	hook_param.newCode[19] = (offsetaddr << 0 ) >> 24;

	char add_rsp[5] = {0};
	add_rsp[0] = 0x48; //add    rsp, 20h //目的是平衡栈
	add_rsp[1] = 0x83;
	add_rsp[2] = 0xC4;
	add_rsp[3] = 0x20;
	add_rsp[4] = 0xC3; //ret

	//---------------------------------------------
	SIZE_T dwNumberOfBytesRead = 0;

	BOOL ret4 = ::ReadProcessMemory(hProcess, (LPCVOID)hook_param.pMalloc, hook_param.oldCode, 20, &dwNumberOfBytesRead); //将malloc函数体原始的前20个字节保存起来,以便hook后恢复

	BOOL ret5 = ::WriteProcessMemory(hProcess, (LPVOID)hook_param.pMalloc, &hook_param.newCode, 20, &dwNumberOfBytesRead); //在新申请的进程地址空间,写函数my_hook_malloc的参数

	BOOL ret6 = ::WriteProcessMemory(hProcess, (LPVOID)dwFunAddr, &my_hook_malloc, size_Func, &dwNumberOfBytesRead); //将编译后的函数体写到新申请的进程地址空间
	BOOL ret7 = ::WriteProcessMemory(hProcess, (LPVOID)(dwFunAddr + 0x8A), &add_rsp, 5, &dwNumberOfBytesRead); //此处目的是为了能正常返回main函数领空, 0x8A是原始函数体的大小
	
	BOOL ret8 = ::WriteProcessMemory(hProcess, (LPVOID)dwParmaAddr, &hook_param, size_Param, &dwNumberOfBytesRead);

	char * p = (char *)malloc(0x0637);

	sprintf(p, "dddddddd 6666666666: 我hook malloc成功啦! 嚯嚯嚯!");
	printf("%s\n", p);

	free(p);

	CloseHandle(hProcess);

	return 0;
}


jfu22
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WPE 封包拦截工具 WIN7X64可用
10-13
WPE 封包拦截工具 WIN7X64可用
C语言malloc函数用法
12-29
C语言中的`malloc`函数是动态内存管理的重要工具,它允许程序在运行时根据需要分配内存,而不是在编译期间预设固定的内存空间。这种方式提高了程序的灵活性,尤其是在处理不确定大小的数据结构或需要动态扩展内存的...
64位Win7拦截malloc函数(二)
jfu22的专栏
04-18 704
在上一篇的“64位Win7拦截malloc函数”基础上,测试crt(c运行时)库几个可能会调用malloc的API函数。 注意:该程序必须在64位Release版本下运行,如果是DeBug版本的话,因为编译器没做优化和加了一些debug代码,所以会内存读写报错 // 说明:此test.cpp文件为win7下,对msvcr100.dll动态库中的maollc函数的hook
malloc申请内存问题
haofeng_ma的博客
09-18 6078
问题描述 最近发现了一个越界有概率会造成段错误的问题。具体问题是这样的,首先malloc申请一块内存,但使用时比实际的大一个字节,比如我申请了52个字节,使用了53个或者申请50个使用了51个,然后我发现的现象是当我申请了52个字节使用了53个字节的时候,程序肯定会挂掉,但申请了50个字节使用了51个的时候程序是不会挂的。同样是越界,为什么会造成这样的结果呢? 问题排查 于是,做了一个的...
拦截malloc、free等库函数(malloc钩子)
LBO4031的专栏
05-29 7845
__malloc_hook是一组glibc提供的malloc调试变量中的一个,这组变量包括: void *(*__malloc_hook)(size_t size, const void *caller); void *(*__realloc_hook)(void *ptr, size_t size, const void *caller); void *(*__memalign_hook)
malloc函数及用法
08-10
malloc函数及用法 malloc函数是C语言中的动态内存分配函数,它允许程序员在程序执行过程中动态地分配内存空间。该函数的使用使得程序员可以根据实际情况动态地分配内存空间,从而提高程序的灵活性和效率。 malloc...
malloc函数malloc函数malloc函数
05-29
malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数...
c语言 malloc函数详解
08-25
"C语言malloc函数详解" malloc函数是C语言中最基本的内存分配函数,用于从堆(heap)中分配内存块。它的原型为`extern void *malloc(unsigned int num_bytes);`,其中`num_bytes`是要分配的内存大小,以字节为单位。...
WINDOWS下HOOK函数的方法
weixin_30569001的博客
11-15 270
前两天和dvff谈论的一些技术总结。 程序代码: ///////////////////////////////////////////////////////////////////////////////////////HOOKAPI DEMO PROGRAM//文件名:HOOKTEST.C////描述: 演示WINNT下HOOK系统API过程...
面试题:如何用malloc申请64位对齐的地址
qq_34193444的博客
10-19 1671
大致的要求是你可以使用malloc来申请内存,并使用free来释放内存,然后你所使用的malloc能申请出来的地址是16位对齐的,也就是说你的malloc申请出来的地址值能被2(16位=2字节)整除 现在要求你能申请并释放64位对齐的空间,也就是说你返回的指针需要指向一个能被8(64位=8字节)整除的地址,并且从这个地址往后还有与你申请空间等大的空间 当时这个问题答了一半,从面试官那里得到的方案大致是先申请空间然后返回一个偏移了的地址,然后利用多申请的空间来存储偏移量 我个人的想法是,先申请8+size的空
DUMP文件分析5:Windows中malloc和free的实现
hustd10的博客
08-02 3678
本来,本节应该是继续典型的DUMP分析的,但由于后面我准备说到堆损坏(Heap Corruption)所导致的程序崩溃,而堆相对于栈来说要复杂的多,所以,有些基础知识必须得清楚,才能定位堆损坏的原因。 本节,我们从表面开始,即new/delete和malloc/free,这两套API(简单的当作API吧)一个用于C++,一个用于C,面试题中常常拿来进行比较。事实上,它们有本质上的区别,new/de
如何hook malloc内存申请失败?
Sven的忘却日记
01-31 901
申请内存时,C语言中有malloc函数,c++有更高级的new操作符。 new的其中一个特性就是可以注册一个内存申请失败的hook函数。 例如:在C++中我们可以调用_set_new_handler(),来设置一个"Allocation failure handler"函数,每当new申请内存失败时,这个函数就会被调用。而malloc默认并不支持这一特性。 有时需要将用C写的项目移植到C++上,通...
Windows Hook Api
是我
12-14 381
今天在写Hook ws2_32 的函数send的时候,发现总是让程序崩溃, 崩溃的时候程序的崩溃点总是在ws2_32的模块中,最后发现在调用Hook函数时候,我进行了还原, 还原的保护代码是PAGE_READWRITE,这样子导致其他线程在执行对应的地址代码产生了一个执行错误的代码! 哎,太久没有使用逆向了,导致就生疏了! 具体原因是: VirtualProtect ( pOld
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4402
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
使用Visual Leak Detector检测内存泄漏
dofty的专栏
09-07 5369
初识Visual Leak Detector       灵活自由是C/C++语言的一大特色,而这也为C/C++程序员出了一个难题。当程序越来越复杂时,内存的管理也会变得越加复杂,稍有不慎就会出现内存问题。内存泄漏是最常见的内存问题之一。内存泄漏如果不是很严重,在短时间内对程序不会有太大的影响,这也使得内存泄漏问题有很强的隐蔽性,不容易被发现。然而不管内存泄漏多么轻微,当程序长时间运行时,其破
Windows下 WINAPI HOOK实现方法 及 C++源码
Kaller的博客
10-26 1583
C++代码 及Demo // APIHook.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include "string.h" #include "windows.h" using namespace std; struct StructAPIHook { string DLLName; string APIName; string DLLAnd...
内存泄漏检测相关内容
最新发布
cs的专栏
06-05 105
通过拦截 malloc,free函数,然后以宏定义的方式,改造malloc, free: malloc的时候根据指针地址写一个文件,free的时候根据指针地址删除这个文件。最后根据留下的文件就可以知道哪个new没有释放内存了。_malloc__FILE____LINE___free__FILE____LINE__方法1的弊端是,最好是用在一个.c文件中,如果文件较多的话就不太适用。
linux环境内存分配原理 mallocinfo
weixin_34013044的博客
06-27 421
Linux的虚拟内存管理有几个关键概念: Linux 虚拟地址空间如何分布?malloc和free是如何分配和释放内存?如何查看堆内内存的碎片情况?既然堆内内存brk和sbrk不能直接释放,为什么不全部使用 mmap 来分配,munmap直接释放呢 ? Linux 的虚拟内存管理有几个关键概念: 1、每个进程都有独立的虚拟地址空间,进程访问的虚拟地址并不是真正的物理地址; 2、虚拟地...
替换malloc函数
05-30
要替换malloc函数,可以使用C语言中的“钩子函数”,即在程序运行时动态地将malloc函数替换为另一个函数。这个过程可以通过LD_PRELOAD环境变量来实现。 步骤如下: 1.编写自己的替代malloc函数,例如my_malloc。 2.在代码中定义一个与malloc函数相同的函数原型,例如: ``` void *malloc(size_t size); ``` 3.在my_malloc函数中实现自己的内存分配逻辑,并返回分配的内存地址。 4.在程序运行时,将LD_PRELOAD环境变量设置为包含你的替代malloc函数的库文件路径,例如: ``` export LD_PRELOAD=/path/to/my_malloc.so ``` 5.执行程序,此时程序中调用malloc函数时会被重定向到my_malloc函数,从而实现了malloc函数的替换。 需要注意的是,替换malloc函数需要谨慎进行,可能会影响程序的正常运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值