C/C++:Windows编程—IAT Hook实例(程序启动拦截)

最新推荐文章于 2024-08-05 13:50:50 发布
置顶 最新推荐文章于 2024-08-05 13:50:50 发布
阅读量3.3k 收藏 20
点赞数 6
分类专栏: 【Windows编程】 【C/C++编程】 文章标签: CreateProcessW explorer.exe进程 Windows编程 IAT_Hook 程序启动拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29542611/article/details/103899906
版权

C/C++:Windows编程—IAT Hook实例(程序启动拦截)

前言+思路

本文默认读者有IAT Hook的相关的基础知识了哈,记录笔者在IAT Hook实战中遇到到问题以及解决思路。

笔者想实现一个功能能够拦截到程序的启动。经过调研,大多程序如果是通过双击或者鼠标启动的 一般都是有 Windows资源管理器explorer.exe进程进行创建的。最近刚好学习了IAT Hook就用IAT Hook 实战一下。创建进程Windows API CreateProcessW,所以我们用OD调试证明一下。使用OD 附加 explorer.exe进程,ctrl + g 输入CreateProcessW 然后在这个函数那里用F2打下断点, 然后d打开IE浏览器或者其他程序。

在这里插入图片描述

在这里插入图片描述

从这里我们可以看到,在桌面通过鼠标打开的程序确实是使用的explorer.exe进程的CreateProcessW方法。我们可以用vs带的命令工具dumpbin 或 DEPENDS.EXE 查看exe或者dll程序的模块依赖情况。从下图,虽然我们看到kernel32.dll在explorer.exe的PE中也有,但是我们上图OD调试中看到 kernel32.CreateProcessW调完了是会回到shell32.dll中的某个地方,所以这里可以看出是使用的shell32.dll中的kernel32.dll的CreateProcessW

在这里插入图片描述

到这里我们可能就会这样去做了,以shell32.dll作为起始地址,在shell32.dll的导入表中找kernel32.dll然后在 kernel32.dll的IAT中找CreateProcessW 函数然后进行IAT Hook。笔者当然开始的时候也是这样想的,不过情况没那么简单。下面是笔者在做IAT Hook时的一段分析思路以及遇到的坑。请结合下面的几张图 容易理解些。

	// OD上看,在win7下的explorer.exe中 使用的是SHELL32.dll中的kernel.dll!!!所以这里起始地址应该是SHELL32.dll
	//HMODULE hModuleExe = GetModuleHandle(_T("SHELL32.dll"));
	
	// 起始地址用SHELL32.dll模块,在它的导入表能找到对应的kernel32.dll动态库,但是从在kernel32.dll的IAT找不到CreateProcessW :)
	// 妈蛋,笔者当然没有放弃,笔者继续分析,网上找了个 DEPENDS.EXE 来分析 kernel32.dll。确实找到了CreateProcessW是kernel32.dll中API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL模块的导出函数,通过dumpin查看该动态库它函数全部给到kernel32.dll了
	// 所以这里的起始地址应该为kernel32.dll,然后找它导入表中的API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL模块,
	// 然后从API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL找它的IAT中的CreateProcessW,然后进行hook。
	//HMODULE hModuleExe = GetModuleHandle(_T("kernel32.dll"));
	
	// 但是,从kernel32.dll的导入表中找到的API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL的中IAT中找到的函数和内存中的CreateProcessW函数地址仍然对不上号!
	// 所以笔者又去分析shell32.dll,通过DEPENDS.exe工具发现shell32.dll的PE结构也是有API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL,
	// 然后再看kernel32.dll中链接的API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL好像是个快捷方式 应该是链接的shell32.dll中API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL
	// 所以这里的起始地址还是SHELL32.dll模块,同样是去找API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL然后找其中的IAT中的CreateProcessW进行hook
	HMODULE hModuleExe = GetModuleHandle(_T("shell32.dll"));

分析kernel32.dll

在这里插入图片描述

分析shell32.dll

在这里插入图片描述

在这里插入图片描述

dumpbin查看API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL导出函数情况

在这里插入图片描述

实现效果

看不清可以看哔哩哔哩视频演示地址 https://www.bilibili.com/video/av82627683/

Windows编程—IAT Hook实例(实现Windows程序启动拦截效果)

程序代码

笔者开发环境win10-64 + vs2010 32位程序,笔者测试程序运行环境 win7 x86,这里使用DebugView查看dll中打印的日志,使用Process Explorer查看dll注入情况

这里主要使用IAT Hook的hook CreateProcessW,IAT Hook难点是找到需要hook的函数的动态库 以及这个动态库的"母体"!

PE结构中的一个DLL对应一个导入表项,一个函数对应IAT导入地址表中的一个IAT项。

找到母体才能进行遍历该母体的导入表进而找到动态库对应的导入表项,通过找到的导入表项可以找到该动态库的IAT表,再遍历IAT表 找到hook函数对应的IAT表项,有hook函数的导入地址表 就可以更改导入地址表的函数地址了,就可以进行hook了!

下面是IATHookTest.dll的代码

#include "stdafx.h"
#include <Windows.h>

DWORD g_funcAddrOrigninal = NULL; // CreateProcessW函数的地址
DWORD g_funcIATfuncAddr = NULL; // 导入地址表的地址,就是存放函数地址的地址,用于卸载IAT Hook

typedef BOOL (WINAPI *CreateProcessWFunc)(
	LPCWSTR               lpApplicationName,
	LPWSTR                lpCommandLine,
	LPSECURITY_ATTRIBUTES lpProcessAttributes,
	LPSECURITY_ATTRIBUTES lpThreadAttributes,
	BOOL                  bInheritHandles,
	DWORD                 dwCreationFlags,
	LPVOID                lpEnvironment,
	LPCWSTR               lpCurrentDirectory,
	LPSTARTUPINFOW        lpStartupInfo,
	LPPROCESS_INFORMATION lpProcessInformation
	);



BOOL WINAPI MyCreateProcessW(
	LPCWSTR               lpApplicationName,
	LPWSTR                lpCommandLine,
	LPSECURITY_ATTRIBUTES lpProcessAttributes,
	LPSECURITY_ATTRIBUTES lpThreadAttributes,
	BOOL                  bInheritHandles,
	DWORD                 dwCreationFlags,
	LPVOID                lpEnvironment,
	LPCWSTR               lpCurrentDirectory,
	LPSTARTUPINFOW        lpStartupInfo,
	LPPROCESS_INFORMATION lpProcessInformation
	)
{
	OutputDebugString(_T("MyCreateProcessW enter-----"));

	OutputDebugString(lpApplicationName);
	OutputDebugString(lpCommandLine);
	CreateProcessWFunc func = (CreateProcessWFunc)g_funcAddrOrigninal;
	BOOL ret = FALSE;
	CString appName = lpApplicationName;
	CString strMsg;
	strMsg.Format(_T("是否打开程序:%s "),appName);
	if(IDYES == MessageBox(NULL,strMsg,_T("请选择"),MB_YESNO))
	{
		ret = func(lpApplicationName,lpCommandLine,
			lpProcessAttributes,lpThreadAttributes,
			bInheritHandles,dwCreationFlags,
			lpEnvironment,lpCurrentDirectory,
			lpStartupInfo,lpProcessInformation);
	}
	else
	{
		ret = TRUE;
	}

	OutputDebugString(_T("MyCreateProcessW exit-----"));
	return ret;
}



 

void IATHOOKCreateProcessW()
{
	OutputDebugString(_T("IATHOOKCreateProcessW, enter "));
	// 获取CreateProcessW函数地址,该函数是Kernel32.dll导出的函数
	HMODULE hModuleKernel = GetModuleHandle(_T("kernel32.dll")); 
	if(hModuleKernel == NULL)
	{
		OutputDebugString(_T("IATHOOKCreateProcessW,LoadLibrary kernel32.dll failed !!!"));
		return;
	}
	CreateProcessWFunc CreateProcessWAddress = (CreateProcessWFunc)GetProcAddress(hModuleKernel,"CreateProcessW");
	if(CreateProcessWAddress == NULL)
	{
		OutputDebugString(_T("IATHOOKCreateProcessW,GetProcAddress CreateProcessW failed !!!"));
		return;
	}

	g_funcAddrOrigninal = (DWORD)CreateProcessWAddress;
	//CString addr;
	//addr.Format(_T("kernel->CreateProcessWAddress = %x"),g_funcAddrOrigninal);
	//OutputDebugString(addr);

	//HMODULE hModuleExe = GetModuleHandle(_T("SHELL32.dll"));
	// OD上看,在win7下的explorer.exe中 使用的是SHELL32.dll中的kernel.dll!!!所以这里起始地址应该是SHELL32.dll
	// 起始地址用SHELL32.dll模块在它的导入表能找到对应的kernel32.dll动态库,但是从在kernel32.dll的IAT找不到CreateProcessW :)
	// 妈蛋,笔者当然没有放弃,笔者继续分析,网上找了个 DEPENDS.EXE 来分析 kernel32.dll。确实找到了CreateProcessW是kernel32.dll中API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL模块的导出函数!
	// 所以这里的起始地址应该为kernel32.dll,然后找它导入表中的API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL模块,
	// 然后从API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL找它的IAT中的CreateProcessW,然后进行hook
	//HMODULE hModuleExe = GetModuleHandle(_T("kernel32.dll"));
	// 但是,从kernel32.dll的导入表中找到的API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL中IAT中找到的函数和内存中的函数地址仍然对不上号!
	// 所以笔者又去分析shell32.dll,通过DEPENDS.exe工具发现shell32.dll的PE结构也是有API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL,
	// 然后再看shell32.dll中链接的API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL好些是个快捷方式 应该是链接的shell32.dll中API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL
	// 所以这里的起始地址还是SHELL32.dll模块,同样是去找API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL然后找其中的IAT
	HMODULE hModuleExe = GetModuleHandle(_T("shell32.dll"));


	// 获取PE结构
	PIMAGE_DOS_HEADER pDosHead = (PIMAGE_DOS_HEADER)hModuleExe;
	PIMAGE_NT_HEADERS pNtHead = (PIMAGE_NT_HEADERS)((DWORD)hModuleExe + pDosHead->e_lfanew);

	// 保存映像基址和导入表的RVA
	ULONGLONG dwImageBase = pNtHead->OptionalHeader.ImageBase;
	ULONGLONG dwImpDicRva = pNtHead->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

	// 导入表的VA,导入表的一项对应一个DLL模块
	PIMAGE_IMPORT_DESCRIPTOR pImageDes= (PIMAGE_IMPORT_DESCRIPTOR)(dwImageBase + dwImpDicRva);
	PIMAGE_IMPORT_DESCRIPTOR pImageTemp = pImageDes;

	// 在导入表中查找要hook的模块是否存在
	bool bFind = false;
	while(pImageTemp->Name) // 最后一项结构体为全0
	{
		char* pName = (char*)(dwImageBase + pImageTemp->Name); // name地址
		CString cstrName = pName;
		if(cstrName.CompareNoCase(_T("API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL")) == 0)
		{
			OutputDebugString(_T("IATHOOKCreateProcessW,find API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL"));
			bFind = true;
			break;
		}
		pImageTemp++;
	}

	bool bFindFnc = false;
	// 已经找到要HOOK的DLL模块
	if(bFind)
	{
		// 导入地址表,一项对应一个函数,进行遍历 查找到要hook的函数
		PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)(dwImageBase + pImageTemp->FirstThunk);
		while(pThunk->u1.Function) // 最后一项结构体为全0
		{
			DWORD* pFuncAddr = (DWORD*)&(pThunk->u1.Function); // 这个地址上内存存放的是【函数的地址】
			// 取出函数的地址 和 之前在程序中找到的函数地址做比较,如果一样就找到了该函数的导入地址表了!
			//CString addr;
			//addr.Format(_T("IAT->funcAddr = %x"),*pFuncAddr);
			//OutputDebugString(addr);
			if(*pFuncAddr == g_funcAddrOrigninal)
			{
				bFindFnc = true;
				DWORD dwMyHookAddr = (DWORD)MyCreateProcessW;
				g_funcIATfuncAddr = (DWORD)pFuncAddr; // 将存放函数地址的内存地址保存,以便后面卸载hook

				OutputDebugString(_T("IATHOOKCreateProcessW, CreateProcessW was found"));
				BOOL bRet = WriteProcessMemory(GetCurrentProcess(),pFuncAddr,&dwMyHookAddr,sizeof(DWORD),NULL);
				if(bRet)
				{
					OutputDebugString(_T("IATHOOKCreateProcessW,WriteProcessMemory suc"));
				}
				else
				{
					OutputDebugString(_T("IATHOOKCreateProcessW,WriteProcessMemory fail !!!"));
				}

				break;
			}
			pThunk++;
		}
	}

	if(bFindFnc == false)
	{
		OutputDebugString(_T("IATHOOKCreateProcessW, not find CreateProcessW!!!"));
	}

}

void UNIATHOOKCreateProcessW()
{
	OutputDebugString(_T("UNIATHOOKCreateProcessW, enter "));
	if(g_funcIATfuncAddr)
	{
		if(g_funcAddrOrigninal)
		{
			OutputDebugString(_T("UNIATHOOKCreateProcessW,CreateProcessW was found"));
			BOOL bRet = WriteProcessMemory(GetCurrentProcess(),(LPVOID)g_funcIATfuncAddr,&g_funcAddrOrigninal,sizeof(DWORD),NULL);
			if(bRet)
			{
				OutputDebugString(_T("UNIATHOOKCreateProcessW,WriteProcessMemory suc"));
			}
			else
			{
				OutputDebugString(_T("UNIATHOOKCreateProcessW,WriteProcessMemory fail !!!"));
			}
		}
	}
}

BOOL WINAPI DllMain (
	HANDLE hInst,
	ULONG ul_reason_for_call,
	LPVOID lpReserved) {

	switch (ul_reason_for_call) {
	case DLL_PROCESS_ATTACH: 
		{
			IATHOOKCreateProcessW();
		}
		break;
	case DLL_PROCESS_DETACH: 
		{
			UNIATHOOKCreateProcessW();
		}
		break;
								
	case DLL_THREAD_ATTACH: 
		{
		}
		break;
								
	case DLL_THREAD_DETACH: 
		{
		}
		break;
	}

	return TRUE;
}

完整项目

项目包含一个InjectDllTool工程代码,使用MFC写的dll注入小程序,然后注入IATHookTest.dll 实现普通程序的启动拦截效果。完整代码可以在这里下载没分可以在这里github下载最新代码,如果可以的话给点个小星星哟。

重庆李四
关注
专栏目录
IAT(import address table) hook C++实例
09-13
C++ 通过导入表(IAT实现inline hook,已经过测试
C++封装IATHOOK实例
09-04
主要介绍了C++封装IATHOOK类的实现方法,对IATHOOK实例进行了封装,非常具有实用价值,需要的朋友可以参考下
C++ IAT HOOK(MessageBoxW 为例)
LYSM
08-15 1023
最近在研究各种姿势的 HOOK,虽然 HOOK 这个东西已经是很久之前就有的技术了,但好在目前应用仍然很广泛,所以老老实实肯大佬们 10 年前啃过的骨头 … 下面是庄重的代码献祭时刻 —— 首先 IAT HOOK 需要使用 DLL , 这里有两个项目工程,一个是 MFC窗体应用(用来测试),一个是我们的 DLL (主要功能)。 DLL 代码: 注释很全,尔等不可能看不懂 // dllmain.c...
AUTOSAR之AUTOSAR OS(下)
最新发布
fuyun32的博客
08-05 1096
本篇主要对AUTOSAR OS的资源,分区,保护以及多核的启动与关闭进行了介绍。不同裁剪类型具备不同种类的保护功能,用IOC机制完成分区间的通信。利用GetResource(x)和ReleaseResource(x)来保证核内数据的一致性,可以用自旋锁Spinlock(GetSpinlock/ReleaseSpinlock)和中断锁来保证核间数据的一致性(若是原子操作则不需要这些手段)。
C/C++ IAT HOOK MessageBoxW
CSDN
07-16 4916
IATHook(Import Address Table Hook)是一种用于修改函数导入表的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入表中的函数地址,实现对目标函数的劫持和重定向。
C++ Hook IAT (基于IATHook实践)
一个工具的觉悟
10-07 5283
本实践基于HookImportFunction.cpp(h), 源自星际译王,代码附后 一. 使用方式   本实践由测试主程序部分与测试dll两部分组成,分别编译成功后,先运行test.exe,再使用dll注入工具将hookTest.dll注入到test.exe中,回车运行。 二. 测试主程序(test.exe) 1. 创建Win32控制台空项目文件 2. 创建应用程序入口文件(main
C++基于hook iat改变Messagebox实例
09-04
Windows程序设计中,Hook技术是一种非常重要的调试和拦截机制,它允许开发者在不修改目标程序代码的情况下,改变或扩展程序的行为。本实例重点讨论了如何使用C++结合HookIAT(Import Address Table,导入地址...
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
标题 "iat_hook.zip" 涉及的是IAT(Import Address Table)钩子技术,这是一种在Windows编程中常用于拦截函数调用的技术。IAT钩子通常与逆向工程、调试和安全研究有关。在VB(Visual Basic)环境中实现IAT钩子,可以...
APIHOOK实例剖析.rar_APIHOOK_c hook_hook api_hookapi_site:en.pudn.com
09-19
APIHOOK实例剖析主要涉及到的是Windows系统中的API Hook技术,这是一种非常关键的系统级编程技巧,常用于调试、监控、拦截以及替换系统或应用程序的行为。在本文中,我们将深入探讨API Hook的基本概念、实现方式以及...
IATHook代码 unorder-map管理
03-27
在IT领域,IATHook是一种常见的技术,用于拦截和修改函数调用,通常是为了解决兼容性问题或实现调试和监控功能。在这个场景中,"IATHook代码 unorder-map管理"指的是在IATHook实现中使用了C++标准库中的`std::...
【C/C++】禁止进程独立启动
weilin1982的博客
08-21 642
      在实际应用开发过程中,往往会碰到部分进程不能或者不要求独立启动,必须通过其他启动进程拉起,针对此种场景其实非常简单,只需要判断当前进程ID和当前进程所属的组识别码是否相等,如果相等说明进程为独立启动程序直接退出,否则程序继续执行。 先简单介绍一下涉及的两个系统函数: 函数一: getpgrp  头文件:#include &lt;unistd.h&gt;  定义函数:pid_t ...
应用层IAT hook
11-01
应用层R3 IAT hook代码实现
c++hook 暴力实现
12-31
Linux c++ 64 暴力hook实现非常简单。如果你想尝试请下载编译试试
VS 2017 C++ 防杀进程
07-22
程序能让 NTSD、WMIC、TASKKILL、任务管理器等大多数进程结束工具无法结束本此程序(支持所有64位 Windows)。
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
windows使用detours实现进程拦截实操
weixin_38526093的博客
04-26 2560
Detours是微软开发的一个函数库,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截的API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours库函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址
IAT hook实现 (修改pe中的导入表实现hook)
&Ψ的博客
07-21 1436
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入表,导入表中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入表,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
HOOK IAT 代码示例
weixin_30952535的博客
07-11 198
// include #include "stdio.h" #include "wchar.h" #include "windows.h" // typedef typedef BOOL(WINAPI* PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString); // globals FARPROC g_pOrgF...
/home/suyanghao/ex_w5/devel/lib/robot_voice/iat_publish: error while loading shared libraries: /usr/local/lib/libmsc.so: file too short
11-07
这个错误提示表明在加载共享库文件`/usr/local/lib/libmsc.so`时出现了问题,可能是该文件损坏或者不完整。你可以尝试重新安装科大讯飞SDK并将库文件拷贝到正确的系统目录下,或者检查该文件是否完整并尝试修复它。另外,你也可以尝试在编译选项中添加正确的库文件路径以确保程序能够正确链接到该库文件。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值