✪ω✪
劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook…
5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook的实现代码,后续再更新复制原始API部分代码的热补丁Hook和SSDT-Hook
T_T
本来昨晚打算花个40分钟左右搞定的,结果出了各种奇怪的问题,调试到2点搞定!结果宿舍还有1/3的人还没睡…当代大学生日常???
Tips & Problems
1.原理很简单啊,把DLL注入到想Hook的进程(进程隐藏有注入器代码),然后DLL在进程空间找到程序进程句柄,句柄指向的就是MZ头的指针,然后就可以通过各种结构体操作找到输入表,找到IID结构体,找到需要修改的IAT,然后把它改掉~~OVER!!,再具体一些,IAT-Hook的原理就是程序call func的实现是call [func所在的IAT],对这个iat取地址值然后call,这个地址值是PE Loader在PE装载的时候动态获取的。
2.遇到的第一个问题是编译器的优化问题,为了偷懒我没用DLL注入工具注入DLL而是编写了一个程序直接LoadLibrary,然后再弹窗,DLL负责劫持MessageBoxW函数,但是怎么都劫持不了…后来一步步调试发现编译器把调用MessageBoxW函数写成 call esi,然后esi=[MessageBoxW的iat地址],但是Loadlibrary在esi=[MessageBoxW的iat地址]之后,也就是说不管怎么修改call esi最终都会调用原本的MessageBoxW…
3.字符串比较函数strcmp(char *,char *)结果只比了一个字符…我记得这个函数应该是不到’\0’不返回的啊…花了5s,手撸一个字符串比较函数
4.Hook原函数到新函数的时候一定要注意处理好堆栈平衡问题
5.因为基本MZ头结构PE头结构中的关键值都是RVA,直接加上进程句柄就得到VA了,真的超级方便
6.因为DLL没有需要卸载的需要,一般注入的DLL被卸载进程也退出了,所以没啥必要写UnHook函数
下面是代码
IAT.h
#include "windows.h"
HMODULE Current_Handle; //进程句柄
PBYTE pfile; //指向MZ
PIMAGE_DOS_HEADER Dos_Header; //Dos头
PIMAGE_NT_HEADERS Nt_Header; //NT头
DWORD IATSection_Base; //IAT所在段基址
DWORD IATSection_Size; //IAT所在段大小
BOOL str_cmp(char *a,char *b);
void PeInit();
BOOL IatHook(LPCSTR DllName,LPCSTR ProcName);
int WINAPI NewMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType);
IAT.cpp
#include "IAT.h"
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
switch (fdwReason) {
case DLL_PROCESS_ATTACH:
Current_Handle = NULL;
pfile = NULL;
Dos_Header = NULL;
Nt_Header = NULL;
IATSection_Base = 0;
IATSection_Size = 0;
PeInit();
IatHook("USER32.dll","MessageBoxW");
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
BOOL str_cmp(char *a,char *b){
while(*a==*b && *a!='\0' && *b!='\0'){
a++;
b++;
}
if(*a=='\0' && *b=='\0') return true;
return false;
}
int WINAPI NewMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) {
return MessageBoxW(NULL,L"123",L"123", NULL);
}
BOOL IatHook(LPCSTR DllName,LPCSTR ProcName) {
DWORD oldprotect = 0;
FARPROC ori_func = GetProcAddress(GetModuleHandleA(DllName), ProcName);
PIMAGE_THUNK_DATA pthunk=NULL;
PIMAGE_IMPORT_DESCRIPTOR Current_IID = (PIMAGE_IMPORT_DESCRIPTOR)(pfile + IATSection_Base);
while (Current_IID) {
if (str_cmp((char *)DllName,(char *)(pfile + Current_IID->Name))) {
pthunk = (PIMAGE_THUNK_DATA)(pfile+Current_IID->FirstThunk);
while (pthunk->u1.Function) {
if (pthunk->u1.Function == (DWORD)ori_func) {
VirtualProtect((LPVOID)&pthunk->u1.Function, 4, PAGE_EXECUTE_READWRITE, &oldprotect);
pthunk->u1.Function = (DWORD)NewMessageBoxW;
VirtualProtect((LPVOID)&pthunk->u1.Function, 4, oldprotect, &oldprotect);
break;
}
pthunk++;
}
return true;
}
Current_IID++;
}
return false;
}
void PeInit() {
Current_Handle = GetModuleHandle(NULL);
pfile = (PBYTE)Current_Handle;
Dos_Header = (PIMAGE_DOS_HEADER)pfile;
if (Dos_Header->e_magic != IMAGE_DOS_SIGNATURE){
OutputDebugString(L"Is Not PE");
return;
}
Nt_Header = (PIMAGE_NT_HEADERS)(pfile + Dos_Header->e_lfanew);
if (Nt_Header->Signature != IMAGE_NT_SIGNATURE) {
OutputDebugString(L"Is Not PE");
return;
}
IMAGE_DATA_DIRECTORY IAT_Section = (IMAGE_DATA_DIRECTORY)(Nt_Header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]);
IATSection_Base = IAT_Section.VirtualAddress;
IATSection_Size = IAT_Section.Size;
}