C/C++ IAT HOOK MessageBoxW

已于 2023-07-03 15:10:30 修改
阅读量4.8k 收藏 1
点赞数
分类专栏: 《Visual C++ 编程技术实践》 文章标签: c++ c语言 mfc windows IatHook
于 2021-07-16 14:07:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/124938879
版权

IATHook(Import Address Table Hook)是一种用于修改函数导入表的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入表中的函数地址,实现对目标函数的劫持和重定向。

IATHook的过程包括以下几个步骤:

  1. 获取目标进程中目标模块的基地址(通常是目标DLL)。

  2. 定位目标模块的导入表(Import Address Table)所在的内存地址。

  3. 遍历导入表,找到目标函数的导入项。

  4. 修改导入项中的函数地址为自定义的函数地址,实现对目标函数的劫持。

  5. 可选:备份原始的函数地址,以便后续恢复或调用原始函数。

IATHook常用于以下场景:

  1. 动态链接库(DLL)注入:通过将自定义的DLL注入到目标进程中,修改目标进程的导入表,使目标函数指向自定义的函数,从而实现对目标进程的功能扩展或修改。

  2. 函数钩子:通过劫持目标函数的导入项,将目标函数的调用重定向到自定义的函数。这样可以在目标函数执行前后注入自定义逻辑,用于实现调试、日志记录、行为监控等功能。

读者需要注意,IATHook技术涉及到操作目标进程的内存,并进行函数地址的修改,属于高级技术,需要谨慎使用,遵守法律法规,并确保对目标进程的修改不会引起系统崩溃或安全漏洞。此外,不同操作系统和编程语言的实现方式可能会有所差异,开发人员需要根据具体情况进行适配和实现。

总结起来,IATHook是一种在目标进程中修改函数导入表的技术,通过劫持和重定向目标函数的调用,实现对目标进程的功能扩展和修改。它在动态链接库注入和函数钩子等场景中具有广泛应用。

开始实践

首先 IAT HOOK 需要使用 DLL , 这里有两个项目工程,一个是 MFC窗体应用(用来测试),一个是我们的 DLL (主要功能)。

DLL 代码如下所示,在代码中实现Hook即可。

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"
#include <iostream>
#include "windows.h"
#include "process.h"
#include "tlhelp32.h"
#include <Winsock2.h>
#include "stdio.h"

using namespace std;

#pragma region 全局变量

HMODULE Current_Handle;				// 进程句柄
PBYTE pfile;						// 指向 PE 入口地址
PIMAGE_DOS_HEADER Dos_Header;       // Dos 头
PIMAGE_NT_HEADERS Nt_Header;        // NT 头
DWORD IATSection_Base;				// IAT 段基址
DWORD IATSection_Size;				// IAT 段大小
DWORD oldFuncAddress;				// 原 API 地址
DWORD newFuncAddress;				// 新 API 地址

#pragma endregion

#pragma region 依赖函数

// 判断字符数组是否相等
BOOL str_cmp(char *a,char *b){
    while(*a==*b && *a!='\0' && *b!='\0'){
        a++;
        b++;
    }
    if(*a=='\0' && *b=='\0') return true;
    return false;
}

// 自己的 API函数
int WINAPI NewMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) {
    return MessageBoxW(NULL,L"IAT HOOK",L"HOOK", NULL);
}

#pragma endregion

#pragma region 功能函数

// HOOK 指定 dll 内的 API
bool IatHook(LPCSTR DllName,LPCSTR ProcName,DWORD NewFuncAddress) {
    DWORD oldprotect = 0;	// 原来的内存保护属性
    
	// 从 dll 中查找函数地址
	oldFuncAddress = (DWORD)GetProcAddress(
		GetModuleHandleA(DllName),	// dll名
		ProcName					// 函数名
		);

    PIMAGE_THUNK_DATA pthunk = NULL;	// 由 IMAGE_IMPORT_DESCRIPTOR.FirstThunk 给出

	// 定位 IAT
    PIMAGE_IMPORT_DESCRIPTOR Current_IID = (PIMAGE_IMPORT_DESCRIPTOR)(pfile + IATSection_Base);

	// 遍历 IAT
    while (Current_IID){
		// 找到想要的 dll(此处为 User32.dll)
        if (str_cmp((char *)DllName,(char *)(pfile + Current_IID->Name))){
            // 定位到 IMAGE_THUNK_DATA 结构体
			pthunk = (PIMAGE_THUNK_DATA)(pfile+Current_IID->FirstThunk);
            
			// 遍历被输入的函数地址
			while (pthunk->u1.Function){
				// 找到想要的函数(这里为 MessageBoxW)
                if (pthunk->u1.Function == (DWORD)oldFuncAddress){					
					// 修改内存保护属性为可读可写
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, PAGE_EXECUTE_READWRITE, &oldprotect);
					
					// 替换原 API
                    pthunk->u1.Function = NewFuncAddress;

					// 记录原 API 地址
					newFuncAddress = pthunk->u1.Function;

					// 恢复内存保护属性
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, oldprotect, &oldprotect);

                    return true;
                }
                pthunk++;
            }
        }
        Current_IID++;
    }

    return false;
}

// UNHOOK 指定 dll 内的 API
bool IatUnHook(LPCSTR DllName,DWORD OldFuncAddress) {

	DWORD oldprotect = 0;	// 原来的内存保护属性
    PIMAGE_THUNK_DATA pthunk = NULL;	// 由 IMAGE_IMPORT_DESCRIPTOR.FirstThunk 给出

	// 定位 IAT
    PIMAGE_IMPORT_DESCRIPTOR Current_IID = (PIMAGE_IMPORT_DESCRIPTOR)(pfile + IATSection_Base);

	// 遍历 IAT
    while (Current_IID){
		// 找到想要的 dll(此处为 User32.dll)
        if (str_cmp((char *)DllName,(char *)(pfile + Current_IID->Name))){
            // 定位到 IMAGE_THUNK_DATA 结构体
			pthunk = (PIMAGE_THUNK_DATA)(pfile+Current_IID->FirstThunk);
            
			// 遍历被输入的函数地址
			while (pthunk->u1.Function){
				// 找到想要的函数(这里为 MessageBoxW)
                if (pthunk->u1.Function == newFuncAddress){			
					// 修改内存保护属性为可读可写
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, PAGE_EXECUTE_READWRITE, &oldprotect);
					
					// 替换原来的函数
					pthunk->u1.Function = OldFuncAddress;

					// 恢复内存保护属性
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, oldprotect, &oldprotect);

                    return true;
                }
                pthunk++;
            }
        }
        Current_IID++;
    }

    return false;
}

// 获取 PE信息
void PeInit(){
    Current_Handle = GetModuleHandle(NULL);			// 获取 dll 注入进程的句柄(基地址)
    pfile = (PBYTE)Current_Handle;					// 类型转换,初始化 PE头
    Dos_Header = (PIMAGE_DOS_HEADER)pfile;			// 类型转换,初始化 DOS头

	// 判断是否定位到 NT头
    if (Dos_Header->e_magic != IMAGE_DOS_SIGNATURE){
        OutputDebugString("Is Not PE");
        return;
    }

	// 计算 NT头 的地址
    Nt_Header = (PIMAGE_NT_HEADERS)(pfile + Dos_Header->e_lfanew);

	// 判断是否定位到 NT头
    if (Nt_Header->Signature != IMAGE_NT_SIGNATURE) {
        OutputDebugString("Is Not PE");
        return;
    }

	// 获取 IAT地址、IAT大小
    IMAGE_DATA_DIRECTORY IAT_Section = (IMAGE_DATA_DIRECTORY)(Nt_Header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]);
    IATSection_Base = IAT_Section.VirtualAddress;
    IATSection_Size = IAT_Section.Size;
}

#pragma endregion

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		{
			// 还原数据
			Current_Handle = NULL;
			pfile = NULL;
			Dos_Header = NULL;
			Nt_Header = NULL;
			IATSection_Base = 0;
			IATSection_Size = 0;
			oldFuncAddress = 0;
			newFuncAddress = 0;

			// 获取 PE信息
			PeInit();

			// Hook MessageBoxW
			if(IatHook("USER32.dll","MessageBoxW",(DWORD)NewMessageBoxW)){MessageBox(NULL,"HOOK成功","LYSM",NULL);}
			else{MessageBox(NULL,"HOOK失败","LYSM",NULL);}

			break;		
		}
							
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		{
			// UnHook MessageBoxW
			if(IatUnHook("USER32.dll",oldFuncAddress)){MessageBox(NULL,"UNHOOK成功","LYSM",NULL);}
			else{MessageBox(NULL,"UNHOOK失败","LYSM",NULL);}
			
			break;
		}
	}
	return TRUE;
}

下面是界面 MFC 实现;

当用户点击加载DLL按钮时,会自动装载我们的DLL模块,此时即可实现Hook注入的效果;

HMODULE hDllLib;

// 加载 dll 按钮
void CTest_MFCDlg::OnBnClickedButton1()
{
	// TODO: 在此添加控件通知处理程序代码

	// 方便测试使用了绝对路径,建议使用相对路径
	hDllLib = LoadLibrary("E:\\MyFiles\\Programing\\vs2012\\MyPrograms\\lyshark\\Debug\\Test_Dll.dll");
}

// 卸载 dll 按钮
void CTest_MFCDlg::OnBnClickedButton2()
{
	// TODO: 在此添加控件通知处理程序代码
	FreeLibrary(hDllLib);
}

// 打印 hello world 按钮
void CTest_MFCDlg::OnBnClickedButton3()
{
	// TODO: 在此添加控件通知处理程序代码
	MessageBoxW(NULL,L"hello lyshark",L"lyshark",NULL);
}
微软技术分享
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hook IAT hookdll资源
11-21
Hook IAT hookdll资源
iathook:Windows kernelmode和usermode IAT挂钩
05-06
Windows kernelmode和usermode IAT挂钩 Windows用户模式示例 # include < windows> LONG IATHook ( __in_opt void * pImageBase , __in_opt char * pszImportDllName , __in char * pszRoutineName , __in void * pFakeRoutine , __out HANDLE* phHook ); LONG UnIATHook ( __in HANDLE hHook ); void * GetIATHookOrign ( __in HANDLE hHook ); typedef int (__stdcall *LPFN_MessageBoxA)( __in_opt HWND hWnd , __in_opt char *
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
可以用于课程设计、毕业设计、学习参考、完整的代码、 分析 explorer.exe 和 cmd.exe 等可以查看文件目录的系统程序遍历文件的实现机制 通过 IAT Hook 的方法篡改它们的导入,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”) (2)代码逻辑: 提升本进程权限——> 获取目标进程的 PID——> 获得要注入进程的句柄——> 在远程进程中开辟出一段内存——> 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中——> 在被注入进程中创建新线程加载该 dll——> 卸载注入的 dll (3)实现细节 ① 提升本进程权限 目的:在操作系统进程时,需要提升自己编写的进程到系统权限,以免发生操作失败现象
C++基于hook iat改变Messagebox实例
09-04
主要介绍了C++基于hook iat改变Messagebox的方法,以实例形式展示了针对IAT(即导入地址)以及hook的操作,有助于深入理解Windows程序设计原理,需要的朋友可以参考下
C++封装IATHOOK类实例
09-04
主要介绍了C++封装IATHOOK类的实现方法,对IATHOOK实例进行了封装,非常具有实用价值,需要的朋友可以参考下
IAT Hook
Tandy12356_的博客
05-26 1602
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
C++ Hook IAT (基于IATHook实践)
一个工具的觉悟
10-07 5178
本实践基于HookImportFunction.cpp(h), 源自星际译王,代码附后 一. 使用方式   本实践由测试主程序部分与测试dll两部分组成,分别编译成功后,先运行test.exe,再使用dll注入工具将hookTest.dll注入到test.exe中,回车运行。 二. 测试主程序(test.exe) 1. 创建Win32控制台空项目文件 2. 创建应用程序入口文件(main
深入IAT HOOK
无心的博客
07-13 2148
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入,在调用函数的时候,我们CALL的是导入地址的一个地址,为什么要调用这里,而且在构造导入的时候,导入名称(INT)和导入地址(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT的填写 在上一篇文章中,我们构造导入的时候,将 IAT 和 INT
C/C++Windows编程—IAT Hook实例(程序启动拦截)
重庆李四
01-08 3062
C/C++Windows编程—IAT Hook实例(程序启动拦截) 前言+思路 本文默认读者有IAT Hook的相关的基础知识了哈,记录笔者在IAT Hook实战中遇到到问题以及解决思路。 笔者想实现一个功能能够拦截到程序的启动。经过调研,大多程序如果是通过双击或者鼠标启动的 一般都是有 Windows资源管理器explorer.exe进程进行创建的。最近刚好学习了IAT Hook就用IAT H...
IAT HOOK
azraelxuemo的博客
01-25 443
IAT Hook通过修改输入的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改了IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
iat导入hookc++源码
09-14
iat导入hookc++源码
IAT(import address table) hook C++实例
09-13
C++ 通过导入IAT)实现inline hook,已经过测试
C++教学——从入门到精通 10.循环
QIPABOSHI的博客
04-24 368
一些事嘛,需要重复做,这就是循环在开始学之前我提一个事,最好先学Python再学C++,不然就会像我和piaojunhe_0825一样有C++后遗症,在Python里写了一个for(int i=0;i
【C】 初识C语言
努力学习C/C++
04-21 770
从本篇开始,带你从不会C语言到精通C语言。这篇是让大家对C语言有个初步的了解。下面的内容会拆分不同篇幅单独进行详细讲叙。数据类型变量、常量字符串转义字符注释选择语句循环语句函数数组操作符常见关键字define定义常量和宏指针结构体1.什么是C语言C语言是一门面向过程的计算机编程语言,与C++、C#、Java等面向对象编程语言有所不同。C语言的设计目标是提供一种能以简易的方式编译、处理低级存储器、仅产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。
C++ WebServer的细节理解
我的博客
04-22 621
在非阻塞模式下,如果 I/O 操作不能立即完成(例如,因为没有数据可读 或 写缓冲区满),系统不会让调用进程阻塞等待,而是立即返回一个错误(通常为 EAGAIN 或 EWOULDBLOCK)。先查询文件描述符 fd 当前的标志,然后将 O_NONBLOCK 标志加入其中,并通过 F_SETFL 来更新文件描述符,最终实现将该文件描述符切换为非阻塞模式。这意味着,如果没有待处理的连接请求(即没有客户端尝试连接到服务器),accept() 会一直阻塞,直到有新的连接请求到达或发生其他特定条件(如超时)为止。
笨蛋学C++C++基础第六弹】
YSL_Monet的博客
04-24 818
定义类需要用到关键字 class,然后指定类的名称,类的主体是包含在一对花括号中,主体包含类的成员变量和成员函数class 类名{访问修饰符(public/protected/private):成员变量;成员函数();
C语言如何⽤指针为函数传递数组?
最新发布
PAP
04-25 204
C语言如何⽤指针为函数传递数组?
C++风云录】精益求精:探索C++开发中的性能优化艺术
记录我的学习历程
04-21 1109
本文将介绍几个在C++开发中常用的性能分析工具和性能优化工具集,包括PerfTools、gperftools、Valgrind、Intel VTune、PAPI以及Boost.Profile。通过深入了解这些工具的功能和用途,读者可以更好地理解如何利用它们来提高代码的执行效率和资源利用率。
memcpy hook
08-27
引用中提到,hook可以分为两类:一种是修改函数代码,一种是修改函数地址。其中,修改函数代码的方式可以通过Inline hook实现,而修改函数地址的方式可以通过IAT hook、SSDT hook、IRP hook、IDT hook等方法实现。引用中给出了一个使用memcpy函数进行hook的示例代码。在这个示例中,先定义了一个结构体Thook修改代码,结构体中包含了一些汇编指令和跳转地址等信息。然后通过调用memcpy_s函数,将这个结构体的内容拷贝到目标函数的地址,从而实现对目标函数的hook。同样地,引用中也给出了另一个使用memcpy函数进行hook的示例代码,并且提到了备份被覆盖的代码以及跳转地址等操作。综上所述,可以使用memcpy函数进行hook操作,通过拷贝特定的指令或者结构体内容到目标函数的地址来实现hook。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [浅谈hook攻防](https://blog.csdn.net/hongduilanjun/article/details/124676926)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [各种HOOK方式和检测对抗方法](https://blog.csdn.net/qq_43355637/article/details/127061136)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值