<Win32 API> 钩子程序的实现

最新推荐文章于 2024-02-04 16:41:32 发布
最新推荐文章于 2024-02-04 16:41:32 发布
阅读量2.5k 收藏 4
点赞数 1
分类专栏: Windows

原文地址:Win32环境下代码注入与API钩子的实现

1. 主要点

挂API钩子分为四步:1. 查找并打开宿主进程,2. 将注入体装入宿主进程中运行,3. 用伪装函数替换目标API,4. 执行伪装函数。整个程序也分为两部分,一部分是负责查找并打开宿主进程和注入代码的应用程序,另一部分是包含修改代码和伪装函数的注入体。

1.1 获取宿主程序的ProcessId

亦可参考我的博文:通过进程名或进程ID获取进程句柄,窗口句柄


1.2 代码注入

步骤:

  1. 调用OpenProcess获取宿主进程句柄;
  2. 调用GetProcAddress查找LoadLibrary函数在宿主进程中的地址;
  3. 调用VirtualAllocEx和WriteProcessMemory将DLL文件名字符串写入宿主进程的内存;
  4. 调用CreateRemoteThread执行LoadLibrary在宿主进程中运行DLL;
  5. 调用VirtualFreeEx释放刚申请的内存;
  6. 调用WaitForSingleObject等待注入线程结束;
  7. 调用GetExitCodeThread获取前面加载的DLL的句柄;
  8. 调用CreateRemoveThead执行FreeLibrary卸载DLL;
  9. 调用CloseHandle关闭打开的所有句柄。

1.3 (dll端)替换目标API

修改入口点,实现JMP, 完美欺骗。

1.4 (dll端) 调用与恢复

恢复入口点,实现原有功能

主程序端代码: 
#include <tchar.h>
#include <Windows.h>
#include <atlstr.h>
#include <Psapi.h>
#pragma comment(lib, "Psapi.lib")
 
#include <iostream>
#include <string>
using namespace std;
 
DWORD FindProc(LPCSTR lpName)
{
    DWORD aProcId[1024], dwProcCnt, dwModCnt;
    char szPath[MAX_PATH];
    HMODULE hMod;
 
    //枚举出所有进程ID
    if (!EnumProcesses(aProcId, sizeof(aProcId), &dwProcCnt))
    {
        //cout << "EnumProcesses error: " << GetLastError() << endl;
        return 0;
    }
 
    //遍例所有进程
    for (DWORD i = 0; i < dwProcCnt; ++i)
    {
        //打开进程,如果没有权限打开则跳过
        HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, aProcId[i]);
        if (NULL != hProc)
        {
            //打开进程的第1个Module,并检查其名称是否与目标相符
            if (EnumProcessModules(hProc, &hMod, sizeof(hMod), &dwModCnt))
            {
                GetModuleBaseNameA(hProc, hMod, szPath, MAX_PATH);
                if (0 == _stricmp(szPath, lpName))
                {
                    CloseHandle(hProc);
                    return aProcId[i];
                }
            }
            CloseHandle(hProc);
        }
    }
    return 0;
}
 
//第一个参数为宿主进程的映象名称,可以任务管理器中查看
//第二个参数为需要注入的DLL的完整文件名
int main(int argc, char *argv[])
{
    if (argc != 3)
    {
        cout << "Invalid parameters!" << endl;
        return -1;
    }
    //查找目标进程,并打开句柄
    DWORD dwProcID = FindProc(argv[1]);
    if (dwProcID == 0)
    {
        cout << "Target process not found!" << endl;
        return -1;
    }
    HANDLE hTarget = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcID);
    if (NULL == hTarget)
    {
        cout << "Can't Open target process!" << endl;
        return -1;
    }
 
    //获取LoadLibraryW和FreeLibrary在宿主进程中的入口点地址
    HMODULE hKernel32 = GetModuleHandle(_T("Kernel32"));
    LPTHREAD_START_ROUTINE pLoadLib = (LPTHREAD_START_ROUTINE)
        GetProcAddress(hKernel32, "LoadLibraryW");
    LPTHREAD_START_ROUTINE pFreeLib = (LPTHREAD_START_ROUTINE)
        GetProcAddress(hKernel32, "FreeLibrary");
    if (NULL == pLoadLib || NULL == pFreeLib)
    {
        cout << "Library procedure not found: " << GetLastError() << endl;
        CloseHandle(hTarget);
        return -1;
    }
 
    WCHAR szPath[MAX_PATH];
    MultiByteToWideChar(CP_ACP, MB_PRECOMPOSED, argv[2], -1,
        szPath, sizeof(szPath) / sizeof(szPath[0]));
 
    //在宿主进程中为LoadLibraryW的参数分配空间,并将参数值写入
    LPVOID lpMem = VirtualAllocEx(hTarget, NULL, sizeof(szPath),
        MEM_COMMIT, PAGE_READWRITE);
    if (NULL == lpMem)
    {
        cout << "Can't alloc memory block: " << GetLastError() << endl;
        CloseHandle(hTarget);
        return -1;
    }
 
    // 参数即为要注入的DLL的文件路径
    if (!WriteProcessMemory(hTarget, lpMem, (void*)szPath, sizeof(szPath), NULL))
    {
        cout << "Can't write parameter to memory: " << GetLastError() << endl;
        VirtualFreeEx(hTarget, lpMem, sizeof(szPath), MEM_RELEASE);
        CloseHandle(hTarget);
        return -1;
    }
 
    //创建信号量,DLL代码可以通过ReleaseSemaphore来通知主程序清理
    HANDLE hSema = CreateSemaphore(NULL, 0, 1, _T("Global\\InjHack"));
 
    //将DLL注入宿主进程
    HANDLE hThread = CreateRemoteThread(hTarget, NULL, 0, pLoadLib, lpMem, 0, NULL);
 
    //释放宿主进程内的参数内存
    VirtualFreeEx(hTarget, lpMem, sizeof(szPath), MEM_RELEASE);
 
    if (NULL == hThread)
    {
        cout << "Can't create remote thread: " << GetLastError() << endl;
        CloseHandle(hTarget);
        return -1;
    }
 
    //等待DLL信号量或宿主进程退出
    WaitForSingleObject(hThread, INFINITE);
    HANDLE hObj[2] = {hTarget, hSema};
    if (WAIT_OBJECT_0 == WaitForMultipleObjects(2, hObj, FALSE, INFINITE))
    {
        cout << "Target process exit." << endl;
        CloseHandle(hTarget);
        return 0;
    }
    CloseHandle(hSema);
 
    //根据线程退出代码获取DLL的Module ID
    DWORD dwLibMod;
    if (!GetExitCodeThread(hThread, &dwLibMod))
    {
        cout << "Can't get return code of LoadLibrary: " << GetLastError() << endl;
        CloseHandle(hThread);
        CloseHandle(hTarget);
        return -1;
    }
 
    //关闭线程句柄
    CloseHandle(hThread);
 
    //再次注入FreeLibrary代码以释放宿主进程加载的注入体DLL
    hThread = CreateRemoteThread(hTarget, NULL, 0, pFreeLib, (void*)dwLibMod, 0, NULL);
    if (NULL == hThread)
    {
        cout << "Can't call FreeLibrary: " << GetLastError() << endl;
        CloseHandle(hTarget);
        return -1;
    }
    WaitForSingleObject(hThread, INFINITE);
    CloseHandle(hThread);
 
    CloseHandle(hTarget);
    return 0;
}

DLL端代码: 
#include <tchar.h>
#include <Windows.h>
 
//Handle of current process
HANDLE g_hProc;
 
//Backup of orignal code of target api
BYTE g_aBackup[6];
BYTE g_aOpcode[6];
 
//Critical section, prevent concurrency of calling the monitor
CRITICAL_SECTION g_cs;
 
//Base address of target API in DWORD
DWORD g_dwApiFunc = (DWORD)GetTickCount;
 
//Hook the target API
__inline BOOL MonitorBase(void)
{
    // Modify the heading 6 bytes opcode in target API to jmp instruction,
    // the jmp instruction will lead the EIP to our fake function
    return WriteProcessMemory(g_hProc, LPVOID(g_dwApiFunc),
        LPVOID(g_aOpcode), sizeof(g_aOpcode) / sizeof(g_aOpcode[0]), NULL);
}
 
//Unhook the target API
__inline BOOL ReleaseBase(void)
{
    // Restore the heading 6 bytes opcode of target API.
    return WriteProcessMemory(g_hProc, LPVOID(g_dwApiFunc),
        LPVOID(g_aBackup), sizeof(g_aOpcode) / sizeof(g_aOpcode[0]), NULL);
}
 
//Pre-declare
BOOL UninstallMonitor(void);
 
//Monitor Function
DWORD WINAPI MonFunc(DWORD dwErr)
{
    //Thread safety
    EnterCriticalSection(&g_cs);
 
    //Restore the original API before calling it
    ReleaseBase();
    DWORD dw = GetTickCount();
    MonitorBase();
 
    //You can do anything here, and you can call the UninstallMonitor
    //when you want to leave.
 
    //Thread safety
    LeaveCriticalSection(&g_cs);
    return dw;
}
 
//Install Monitor
BOOL InstallMonitor(void)
{
    //Get handle of current process
    g_hProc = GetCurrentProcess();
 
    g_aOpcode[0] = 0xE9; //JMP Procudure
    *(DWORD*)(&g_aOpcode[1]) = (DWORD)MonFunc - g_dwApiFunc - 5;

 ReadProcessMemory(g_hProc, LPVOID(g_dwApiFunc), LPVOID(g_aBackup), sizeof(g_aBackup)/ sizeof(g_aBackup[0]), NULL);
    InitializeCriticalSection(&g_cs);
 
    //Start monitor
    return MonitorBase();
}
 
BOOL UninstallMonitor(void)
{
    //Release monitor
    if (!ReleaseBase())
        return FALSE;
 
    DeleteCriticalSection(&g_cs);
 
    CloseHandle(g_hProc);
 
    //Synchronize to main application, release semaphore to free injector
    HANDLE hSema = OpenSemaphore(EVENT_ALL_ACCESS, FALSE, _T("Global\\InjHack"));
    if (hSema == NULL)
        return FALSE;
    return ReleaseSemaphore(hSema, 1, (LPLONG)g_hProc);
}
 
BOOL WINAPI DllMain(HINSTANCE hInstDll, DWORD fdwReason, LPVOID lpvReserved)
{
    switch (fdwReason)
    {
    case DLL_PROCESS_ATTACH:
        DisableThreadLibraryCalls(hInstDll);
 
        InstallMonitor();
        break;
 
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

注:原文中未对g_aBackup进行初始化,需要在函数InstallMonitor中添加(所贴代码已添加): 
ReadProcessMemory(g_hProc, LPVOID(g_dwApiFunc), LPVOID(g_aBackup), sizeof(g_aBackup)/ sizeof(g_aBackup[0]), NULL);
_Lulixue_
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编写Win32 API钩子
09-06
教你怎么HOOK 系统API,对于以后的编写一个黑客程序很有帮助,做第三方软件也很需要
win32程序测试键盘钩子
菜头
09-24 3689
// Test_Hook.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #include // Some global variables HINSTANCE g_Instance; // Handler of current instance HHOOK
Win32 SDK Gui编程系列之--键盘钩子技术(KeyBoard Hook)
weixin_55465758的博客
02-04 636
然后,进行鼠标光标的覆盖,但在全屏复制和活动窗口复制时,修正值是不同的。完成包含鼠标光标的位图后,清空剪切板,并将更新的位图重新设置到剪切板中。使用窗口的标准功能,即PrtScr键和Alt键+PrtScr键时,不会包含鼠标光标的图像,但下面的程序包括了鼠标光标。F6和F7键也用于假名汉字转换,所以只有在执行包含鼠标光标的屏幕截图时,才启用这个键盘钩子,并在使用完毕后重置。屏幕截图(Windows8) 之前创建的基于键盘钩子的屏幕截图程序,在Windows7中运行良好,但在Windows8中出现了一些不便。
系统钩子的一个简单例子
Felicity570's JavaEye
11-06 199
http://hi.baidu.com/kayvcai/blog/item/b5253aec3838e6d22e2e216a.html 系统钩子的一个简单例子 2007-12-01 14:53 系统钩子和DLL    钩子的本质是一段用以处理系统消息的程序,通过系统调用,将其挂入系统。钩子的种类有很多,每种钩子可以截获并处理相应的消息,每当特定的消息发出,在到达目的窗口之前,钩子程序先...
钩子编程例子
06-25
Windows窗体(Form,形状/表单)原来是Visual Basic程序的用户界面,后来成为.NET程序的GUI,被Visual Studio中的C#、Visual Basic、F#、MC++和C++/CLI等开发语言工具所使用,后来又从Visual C++ 2005起被引入到MFC编程中
如何使用Win32Api创建鼠标钩子
vivianshen0406的专栏
01-28 1400
使用钩子之前,必须创建钩子,使用函数SetWindowsHookEx,函数原型如下: HHOOK WINAPI SetWindowsHookEx(__in int idHook,  \\钩子类型                                                                     __in HOOKPROC lpfn,  \\回调函数地址
win32下Hook系统API.txt
10-26
ModifyCall()利用进程的HINSTANCE(也即HMODULE,对于Win32而言它们是一回事,即装载基址)找到DOS文件头结构IMAGE_DOS_HEADER,再利用IMAGE_DOS_HEADER中的e_lfanew成员找到Win32的IMAGE_NT_HEADERS结构,该结构...
vc++钩子程序HookAPI1.62.rar
10-12
win9x下的mydll程序加了编译选项预定义WIN95,编写win9x下的mydll时请注意 1.6版本更新内容: 1。修改了win9x下TextOutA,TextOutW等函数的截获问题 [2003.04.12] 添加Hook/Unhook一个函数 添加Hook/Unhook一个...
C#中通过钩子实现屏蔽组合功能键
08-15
C#中也可以通过调用Win32 API安装和卸载钩子函数,实现基于钩子的特定功能。 本实例为通过C#屏蔽键盘、利用HOOK钩子屏蔽ctrl+alt+delete组合键的示例源码,可直接编译。 示例支持屏蔽按键、解除屏蔽。
SWT WIN32 Extension
11-06
使用SWT Win32 Extension,您将不需要创建原生的动态链接库来调用操作系统动态链接库的系统API或者方法。您仅仅需要做的就是编写Java代码,SWT Win32 Extension来负责剩下的部分。SWT Win32 Extension提供了一系列的...
钩子查看器
09-29
该工具可以查看系统的钩子,应用程序使用的内核接口等,非常实用
Win32 API 串口源码
04-20
深入浅出VC++串口编程之基于Win32 API 源码 参照该文档编写 同步阻塞方式 非常适合初学者 点击发送之后不要移动鼠标,否则会导致无响应,因为是同步方式 仅供学习,下一步我会上传异步通讯方式的,建议大家以后写串口软件都写异步的,这样效率高 vs2005编译通过
WINDOWS钩子API截获和替换Win32 API的开发包HookAPI源码1.62版
02-23
WINDOWS钩子API截获和替换Win32 API的开发包HookAPI源码1.62版,含HookAPI使用手册
键盘钩子程序和源码
06-23
键盘钩子程序和源码
什么是钩子程序
zhubo的学习笔记
10-24 1421
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子
钩子程序解释说明都要注意小心钩子
calw58calw
01-17 170
钩子程序解释说明都要注意小心钩子哦 2010年11月27日   钩子能截获系统并得理发送给其它应用程序的消息,能完成一般程序无法完成的功能。掌握钩子的编程方法是很有必要的   钩子分类 :   1、WH_CALLWNDPROC和WH_CALLWNDPROCRET: 使你可以监视发送到窗口过程的消息   3、WH_DEBUG 调试钩子   4、WH_FOREGROUNDIDL...
钩子程序
sunears的专栏
11-01 4060
钩子程序钩子程序是在内存中可以不断的在内存中拦截你要控制设备的消息并且可以对该消息进行处理过滤。 钩子是WINDOWS留给我们的后门,比如你想控制键盘,在DOS时代很简单通过INT即可,而WINDOWS时代不允许我们直接操作硬件;由于WINDOWS是消息驱动,所以我们可以拦截键盘消息以达到控制键盘的目的。但是控制自己进程的消息固然很简单,要控制所有进程消息要利用钩子了。将钩子函数放在DLL中
chromedriver-linux64-V124.0.6367.91 稳定版
最新发布
04-30
chromedriver-linux64-V124.0.6367.91稳定版
使用ref给html添加一个<el-input>
06-07
下面是一个例子,假设我们有一个`MyComponent`组件,需要在组件中添加一个`<el-input>`元素,并给它添加一个`ref`属性,然后在`mounted`钩子函数中使用`$refs`属性获取这个`<el-input>`元素,并设置它的属性和事件:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值