64位的Win7下拦截malloc函数(二)

最新推荐文章于 2023-06-14 14:24:07 发布
最新推荐文章于 2023-06-14 14:24:07 发布
阅读量682 收藏
点赞数
文章标签: hook malloc calloc realloc _aligned_malloc win7+64位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jfu22/article/details/70225969
版权

在上一篇的“64位的Win7下拦截malloc函数”基础上,测试crt(c运行时)库几个可能会调用malloc的API函数。


注意该程序必须在64位Release版本下运行,如果是DeBug版本的话,因为编译器没做优化和加了一些debug代码,所以会内存读写报错


// 说明:此test.cpp文件为win7下,对msvcr100.dll动态库中的maollc函数的hook测试文件,
//       即拦截win7平台下Release版本的malloc函数
// 
// 作者:过客
// 邮箱:386520874@qq.com
// 日期:2017.04.18


#include "stdafx.h"
#include <windows.h>
#include <stdlib.h>
//#include <malloc.h>


typedef HANDLE (__stdcall * PFN_GETCURRENTPROCESS)(void);
typedef BOOL (__stdcall * PFN_WRITEPROCESSMEMORY)(HANDLE, LPVOID, LPCVOID, SIZE_T, SIZE_T *);
typedef DWORD (__stdcall * PFN_GETCURRENTTHREADID)(void);

typedef void * (__cdecl * PFN_MALLOC)(size_t _Size);
typedef int (__cdecl * PFN_PRINTF)(const char * _Format, ...);


//------------------------------------------------
#pragma pack(1) //#pragma pack(push, 4) 说明:可以1字节对齐也可以4字节对齐,此处非常重要
typedef struct HOOK_PARAM
{
	DWORD pGetCurrentProcess;
	DWORD pWriteProcessMemory;
	DWORD pGetCurrentThreadId;
	DWORD pMalloc;
	DWORD pPrintf;
	long long malloc_param_1; //用于保存malloc的输入参数值
	long long nextIpAddr; //64位地址
	void * pMallocReturn; //用于保存malloc的返回值
	DWORD currentThreadId; //用于保存GetCurrentThreadId的返回值
	char oldCode[20];
	char newCode[20];
	char str[100];
	char str_format[100]; //printf的参数
	DWORD dwFunAddr;
	DWORD dwParmaAddr;
}HOOK_PARAM;
#pragma pack() //#pragma pack(pop)


HOOK_PARAM hook_param = {0}; //全局变量


//------------------------------------------------
void * my_hook_malloc(void *lParam)
{
	HOOK_PARAM * p = (HOOK_PARAM *)lParam;

	PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)(p->pGetCurrentProcess);
	PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)(p->pWriteProcessMemory);
	PFN_GETCURRENTTHREADID pfnGetCurrentThreadId = (PFN_GETCURRENTTHREADID)(p->pGetCurrentThreadId);
	
	PFN_MALLOC pfnMalloc = (PFN_MALLOC)(p->pMalloc);
	PFN_PRINTF pfnPrintf = (PFN_PRINTF)(p->pPrintf);

	//恢复API原来的样子,即摘掉API钩子
	pfnWriteProcessMemory(pfnGetCurrentProcess(), (LPVOID)pfnMalloc, (LPCVOID)(p->oldCode), 20, NULL);
	
	//调用正常的malloc
	p->pMallocReturn = pfnMalloc(p->malloc_param_1);

	//调用win32 API GetCurrentThreadId()
	p->currentThreadId = pfnGetCurrentThreadId();

	//-------------------------------------------------
	pfnPrintf(p->str_format, p->currentThreadId, p->currentThreadId, p->malloc_param_1, p->malloc_param_1, p->pMallocReturn); //将hook到的信息打印出来

	return p->pMallocReturn; //将malloc申请的内存地址返回
}


//------------------挂上API钩子------------------------------
int hook_on(HANDLE hProcess)
{
	//--------------------------
	HMODULE hKernel32 = LoadLibraryA("kernel32.dll");
	HMODULE hMsvcr100 = LoadLibraryA("msvcr100.dll");

	hook_param.pGetCurrentProcess = (DWORD)GetProcAddress(hKernel32, "GetCurrentProcess");
	hook_param.pWriteProcessMemory = (DWORD)GetProcAddress(hKernel32, "WriteProcessMemory");
	hook_param.pGetCurrentThreadId = (DWORD)GetProcAddress(hKernel32, "GetCurrentThreadId");

	hook_param.pMalloc = (DWORD)GetProcAddress(hMsvcr100, "malloc");
	hook_param.pPrintf = (DWORD)GetProcAddress(hMsvcr100, "printf");

	hook_param.malloc_param_1 = 0x12345678;

	sprintf(hook_param.str_format, "GetCurrentThreadId() = %%ld = 0x%%X;   malloc(): size = %%ld = 0x%%X; ptr = 0x%%X;\n");

	//---------------------------------------------
	int size_Func = 1024 * 1;
	DWORD dwFunAddr = (DWORD)VirtualAllocEx(hProcess, NULL, size_Func, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); //在进程空间申请内存
	memset((void *)dwFunAddr, 0, size_Func);

	int size_Param = sizeof(HOOK_PARAM);
	DWORD dwParmaAddr = (DWORD)VirtualAllocEx(hProcess, NULL, size_Param, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); //在进程空间申请内存
	
	hook_param.dwFunAddr = dwFunAddr;
	hook_param.dwParmaAddr = dwParmaAddr;

	//---------------------------------------------
	hook_param.newCode[0] = 0x51; //push    rcx //将 char * p = (char *)malloc(0x0637); 的参数 0x0637 入栈
	hook_param.newCode[1] = 0x68; //0x68: push newcode[2..5],参数先压栈
	hook_param.newCode[2] = (dwParmaAddr << 24) >> 24;
	hook_param.newCode[3] = (dwParmaAddr << 16) >> 24;
	hook_param.newCode[4] = (dwParmaAddr << 8 ) >> 24;
	hook_param.newCode[5] = (dwParmaAddr << 0 ) >> 24;
	hook_param.newCode[6] = 0x59; //pop    ecx
	hook_param.newCode[7] = 0x67; //pop    qword ptr [ecx + 14h] // hook_param.malloc_param_1 = 0x0637; 将malloc(size);的size参数偷偷保存起来
	hook_param.newCode[8] = 0x8F;
	hook_param.newCode[9] = 0x41;
	hook_param.newCode[10] = 0x14;
	hook_param.newCode[11] = 0x48; //sub    rsp, 20h //目的是平衡栈
	hook_param.newCode[12] = 0x83;
	hook_param.newCode[13] = 0xEC;
	hook_param.newCode[14] = 0x18;

	int offsetaddr = dwFunAddr - (int)hook_param.pMalloc - 20;

	hook_param.newCode[15] = 0xE8; //0xE8: call newcode[16..19],然后调用函数 my_hook_malloc
	hook_param.newCode[16] = (offsetaddr << 24) >> 24;
	hook_param.newCode[17] = (offsetaddr << 16) >> 24;
	hook_param.newCode[18] = (offsetaddr << 8 ) >> 24;
	hook_param.newCode[19] = (offsetaddr << 0 ) >> 24;

	char add_rsp[5] = {0};
	add_rsp[0] = 0x48; //add    rsp, 20h //目的是平衡栈
	add_rsp[1] = 0x83;
	add_rsp[2] = 0xC4;
	add_rsp[3] = 0x20;
	add_rsp[4] = 0xC3; //ret

	//---------------------------------------------
	SIZE_T dwNumberOfBytesWrite = 0;

	BOOL ret4 = ::ReadProcessMemory(hProcess, (LPCVOID)hook_param.pMalloc, hook_param.oldCode, 20, &dwNumberOfBytesWrite); //将malloc函数体原始的前20个字节保存起来,以便hook后恢复

	BOOL ret5 = ::WriteProcessMemory(hProcess, (LPVOID)hook_param.pMalloc, &hook_param.newCode, 20, &dwNumberOfBytesWrite); //在新申请的进程地址空间,写函数my_hook_malloc的参数

	BOOL ret6 = ::WriteProcessMemory(hProcess, (LPVOID)dwFunAddr, &my_hook_malloc, size_Func, &dwNumberOfBytesWrite); //将编译后的函数体写到新申请的进程地址空间
	BOOL ret7 = ::WriteProcessMemory(hProcess, (LPVOID)(dwFunAddr + 0x93), &add_rsp, 5, &dwNumberOfBytesWrite); //此处目的是为了能正常返回main函数领空, 0x8A是原始函数体的大小
	
	BOOL ret8 = ::WriteProcessMemory(hProcess, (LPVOID)dwParmaAddr, &hook_param, size_Param, &dwNumberOfBytesWrite);

	return 0;
}


//------------------摘掉API钩子------------------------------
int hook_off(HANDLE hProcess)
{
	SIZE_T dwNumberOfBytesWrite = 0;

	BOOL ret1 = ::WriteProcessMemory(hProcess, (LPVOID)hook_param.pMalloc, &hook_param.oldCode, 20, &dwNumberOfBytesWrite);

	BOOL ret2 = VirtualFreeEx(hProcess, (LPVOID)hook_param.dwFunAddr, 0, MEM_RELEASE);
	BOOL ret3 = VirtualFreeEx(hProcess, (LPVOID)hook_param.dwParmaAddr, 0, MEM_RELEASE);

	return 0;
}


//---------------------------------------
int _tmain(int argc, _TCHAR* argv[])
{
	HANDLE hProcess = GetCurrentProcess();

	//----------------------------------
	printf("\n----------------------------------\n");

	hook_on(hProcess);
	
	char * p0 = (char *)malloc(0x0637);
	printf("malloc(): p=0x%X\n", p0);

	sprintf(p0, "dddddddd 6666666666: 我hook malloc成功啦! 嚯嚯嚯!");
	printf("%s\n", p0);

	free(p0);
	
	hook_off(hProcess);

	//----------------------------------
	printf("\n--------------new会调用malloc--------------------\n");

	hook_on(hProcess);
	
	int * p1 = new int; //new会调用malloc
	printf("new int(): p=0x%X\n", p1);
	delete p1;

	hook_off(hProcess);
	
	//----------------------------------
	printf("\n--------------new []会调用malloc--------------------\n");

	hook_on(hProcess);
	
	char * p2 = new char[17]; //new []会调用malloc
	printf("new char[](): p=0x%X\n", p2);
	delete [] p2;

	hook_off(hProcess);
	
	//----------------------------------
	printf("\n--------------calloc不会调用malloc--------------------\n");

	hook_on(hProcess);
	
	char * p3 = (char *)calloc(10, sizeof(char));
	printf("calloc(): p=0x%X\n", p3);
	free(p3);
	
	hook_off(hProcess);

	//----------------------------------
	printf("\n--------------realloc会调用malloc--------------------\n");

	hook_on(hProcess);
	
	char * p4 = (char *)realloc(NULL, 23); //realloc会调用malloc
	printf("realloc(): p=0x%X\n", p4);
	free(p4);
	
	hook_off(hProcess);
	
	//----------------------------------
	printf("\n--------------strdup会调用malloc--------------------\n");

	hook_on(hProcess);
	
	char str[] = "Hello World 1!";
	char * p5 = strdup(str); //strdup会调用malloc
	printf("strdup(): p=0x%X\n", p5);
	free(p5);
	
	hook_off(hProcess);

	//----------------------------------
	printf("\n--------------wcsdup不会调用malloc--------------------\n");

	hook_on(hProcess);
	
	wchar_t str2[] = L"Hello World 2!";
	wchar_t * p6 = wcsdup(str2); //wcsdup不会调用malloc
	printf("wcsdup(): p=0x%X\n", p6);
	free(p6);
	
	hook_off(hProcess);
	
	//----------------------------------
	printf("\n--------------_aligned_malloc会调用malloc--------------------\n");

	hook_on(hProcess);

	char * p7 = (char *)_aligned_malloc(17, 16); //_aligned_malloc会调用malloc
	printf("_aligned_malloc(): p=0x%X\n", p7);
	_aligned_free(p7);
	
	hook_off(hProcess);

	//----------------------------------
	printf("\n--------------_aligned_realloc会调用malloc--------------------\n");

	hook_on(hProcess);
	
	char * p8 = (char *)_aligned_realloc(NULL, 17, 16); //_aligned_realloc会调用malloc
	printf("_aligned_realloc(): p=0x%X\n", p8);
	_aligned_free(p8);
	
	hook_off(hProcess);

	//----------------------------------
	printf("\n--------------_aligned_offset_malloc会调用malloc--------------------\n");

	hook_on(hProcess);
	
	char * p9 = (char *)_aligned_offset_malloc(17, 16, 5); //_aligned_offset_malloc会调用malloc
	printf("_aligned_offset_malloc(): p=0x%X\n", p9);
	_aligned_free(p9);
	
	hook_off(hProcess);

	//----------------------------------
	printf("\n--------------_aligned_offset_realloc会调用malloc--------------------\n");

	hook_on(hProcess);
	
	char * p10 = (char *)_aligned_offset_realloc(NULL, 17, 16, 5); //_aligned_offset_realloc会调用malloc
	printf("_aligned_offset_realloc(): p=0x%X\n", p10);
	_aligned_free(p10);
	
	hook_off(hProcess);

	//----------------------------------
	CloseHandle(hProcess);

	return 0;
}





jfu22
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C语言malloc函数用法
12-29
malloc函数的用法,里面包括一个word文件,详细描述了molloc函数的具体用法,欢迎大家下载
malloc函数malloc函数malloc函数
05-29
malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数malloc函数...
内存泄漏检测组件 -- hook
kakaka666的博客
02-15 1980
2、__builtin_return_address(0)的含义是,得到当前函数返回地址,即此函数被别的函数调用,然后此函数执行完毕后,返回,所谓返回地址就是那时候的地址。3、__builtin_return_address(1)的含义是,得到当前函数的调用者的返回地址。注意是调用者的返回地址,而不是函数起始地址。printf函数底层会调用malloc函数,如果程序陷入死循环,会不停的调用malloc。好像只支持参数为0。让第一次进入函数的部分执行我们的流程,而递归进去的算第次进入函数,返回即可。
如何hook malloc内存申请失败?
Sven的忘却日记
01-31 859
申请内存时,C语言中有malloc函数,c++有更高级的new操作符。 new的其中一个特性就是可以注册一个内存申请失败的hook函数。 例如:在C++中我们可以调用_set_new_handler(),来设置一个"Allocation failure handler"函数,每当new申请内存失败时,这个函数就会被调用。而malloc默认并不支持这一特性。 有时需要将用C写的项目移植到C++上,通...
malloc hook初探
zz460833359的博客
12-21 970
在程序中设置钩子,用来在mallocrealloc,free的时候,对其进行检查,可以看到对应的函数调用后的地址是什么。这个有时候可以用在debug的时候使用。 几个变量 __malloc_hook 这是一个函数指针变量,指向的是: void * function(size_t size, void * caller) 其中caller是表示在栈中调用malloc的函数的时候的函数地址,%p可以打印出他的地址。 __free_hook 同样这个也是一个函数指针变量,指向的是:
android 如何分析应用的内存(七)——malloc hook
安仔的博客
06-14 2075
接上文,介绍六大板块中的第个————malloc hook上一篇的自定义分配函数,常常只能解决当前库中的分配,而不能跟踪整个app中的分配。为此,android的libc库,从Android 9.0开始引入了malloc hook技术这个技术定义了四个全局变量,这个变量指向对应的函数。注意:在32位系统中,有两个已经不在推荐使用的函数,pvalloc和valloc对应的hook为__memalign_hook
hook方法整理
neilooo的博客
11-03 2790
hook基础库函数可以实现多种功能,比如: 1.malloc/free,内存监控; 2.pthread_create,线程泄漏; 3.open/close,fd泄漏; 有助于程序的稳定性检测。 本文记录hook方法和原理,持续补充 glic malloc hook,plt hook(xhook
malloc函数及用法
08-10
分配内存空间函数malloc:在内存的动态存储区中分配一块长度为"size"字节的连续区域。函数的返回值为该区域的首地址。
c语言 malloc函数详解
08-25
主要介绍了c语言 malloc函数详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解C语言用malloc函数申请维动态数组的实例
08-28
主要介绍了详解C语言用malloc函数申请维动态数组的实例的相关资料,希望通过本文能帮助到大家,需要的朋友可以参考下
__malloc_hook和__free_hook劫持原理
Grxer的博客
03-20 704
Hook即钩子,截获API调用的技术,是将执行流程劫持到你自己的代码。刚开始在Ubuntu22上做实验,一直不成功,又换了kali,还是不行,最后发现__free_hook,__malloc_hook,__realloc_hook,_after_morecore_hookg在libc-2.34的patch中被移除了,换了Ubuntu16 libc版本2.23,但是发现只是在ld链接时会找不到definition,也就是无法通过链接的环节,但是在libc库里还是有的,可能是考虑之前使用hook程序的兼容。
动手实现内存泄漏检测组件
菊头蝙蝠的博客
04-14 1870
c/c++没有垃圾回收机制,可能会出现内存泄漏 出现原因:内存分配与内存释放,没有做到匹配 1.如何预防内存泄漏? 2.内存泄漏如何解决? 1.如何知道内存泄漏 2.如何定位代码哪一行引起的内存泄漏 如何知道内存泄漏: 每次malloc/calloc/realloc 就 +1 每次free 就 -1 如果正常退出,不为0,说明存在内存泄漏 如何定位哪一行引起内存泄漏? 1.c自带的宏,__FILE__、_ FUNCTION _和、__LINE__,可以定位到具体文件,函数,哪一行 2.builtin_re
64位Win7拦截malloc函数
jfu22的专栏
04-17 1370
目前大多数项目都在64位系统下开发,很多时候不知道是否malloc溢出,所以我专门花了些时间,写了一个如何拦截malloc的示例程序。 注意:该程序必须在64位Release版本下运行,如果是DeBug版本的话,因为编译器没做优化和加了一些debug代码,所以会内存读写报错 af // 说明:此test.cpp文件为win7下,对msvcr100.dll动态库中的maollc函数
malloc(malloc在32位编译系统中分配的地址会8字节对齐,64为编译系统中会8或者16字节对齐)
sweetfather的博客
04-03 7371
了解malloc分配策略的人都知道,malloc在32位编译系统中会8字节对齐,64为编译系统中会8或者16字节对齐。故32位malloc分配后的首地址肯定是8的整数倍。       举例说明:32位系统环境, 假设按4字节对齐,分配8字节的存储空间存储long long型的内容。malloc获取地址为0x1acf3014(4字节对齐), 返回给用户的地址为0x1acf300c(实际存储数据的地址...
使用Visual Leak Detector检测内存泄漏
dofty的专栏
09-07 5346
初识Visual Leak Detector       灵活自由是C/C++语言的一大特色,而这也为C/C++程序员出了一个难题。当程序越来越复杂时,内存的管理也会变得越加复杂,稍有不慎就会出现内存问题。内存泄漏是最常见的内存问题之一。内存泄漏如果不是很严重,在短时间内对程序不会有太大的影响,这也使得内存泄漏问题有很强的隐蔽性,不容易被发现。然而不管内存泄漏多么轻微,当程序长时间运行时,其破
Windows下 WINAPI HOOK实现方法 及 C++源码
Kaller的博客
10-26 1405
C++代码 及Demo // APIHook.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include "string.h" #include "windows.h" using namespace std; struct StructAPIHook { string DLLName; string APIName; string DLLAnd...
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 3807
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
如何在进程间共享数据?
weixin_34122810的博客
11-08 461
1、引言  在Windows程序中,各个进程之间常常需要交换数据,进行数据通讯。WIN32 API提供了许多函数使我们能够方便高效的进行进程间的通讯,通过这些函数我们可以控制不同进程间的数据交换,就如同在WIN16中对本地进程进行读写操作一样。  典型的WIN16两进程可以通过共享内存来进行数据交换:(1)进程A将GlobalAlloc(GMEM_SHARE...)API分配一定长度的内存;(2)...
malloc函数维数组
最新发布
11-26
下面是使用malloc函数模拟开辟一个3*5的整型维数组的示例代码: ```c int **arr = (int **)malloc(3 * sizeof(int *)); for (int i = 0; i ; i++) { arr[i] = (int *)malloc(5 * sizeof(int)); } // 访问维...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值