32位下IAT Hook实现计算器修改执行

最新推荐文章于 2022-05-20 17:42:29 发布
最新推荐文章于 2022-05-20 17:42:29 发布
阅读量631 收藏 4
点赞数 1
分类专栏: 病毒技术 文章标签: IAT Hook PE格式应用 黑客 32位 钩子
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/98473250
版权

0x00 简介

这个程序的目的是为了让calc程序显示中文。比如: 我是在XP下使用计算器,上面显示的都是阿拉伯数字,现在要用中文显示,如图所示:

使用OD追踪Windows下的calc程序就会发现,计算器的输入框是一个EDIT空间并且calc程序是通过SetWindowTextW来把键入结果显示在EDIT控件上。

在SetWindowTextW上下断点后运行程序,在calc程序上输入便会发现在SetWindowTextW上断下。这就证明了这个事实。

0x01 原理

由于calc程序是图形界面程序所以USER32.dll必然被加载到calc的线性地址空间中,所以只要在calc中调用GetProcAddress获取其中的SetWindowTextW的地址并且将该API截获替换成我们自己的代码就可以了。采用的方法是IAT Hook。

但是由于保护模式下进程间是隔离的,没办法进入calc的地址空间内,所以需要用到远程线程注入的方式把包含Hook代码的DLL注入到目标进程并运行。

0x02 代码

首先是注入程序:

// 注入程序代码
#include <windows.h>
#include <tchar.h>
#include <TlHelp32.h>
#include <cstdio>

/*
	获取DEBUG权限
*/
BOOL SetPrivileges(LPCTSTR pszPriName, BOOL fEnabled) {
	HANDLE hToken = NULL;
	TOKEN_PRIVILEGES tp = {0};

	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
		return(FALSE);
	tp.PrivilegeCount = 1;
	tp.Privileges[0].Attributes = fEnabled ? SE_PRIVILEGE_ENABLED : 0;
	if (!LookupPrivilegeValue(NULL, pszPriName, &(tp.Privileges[0].Luid)))
		return(FALSE);
	if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL))
		return(FALSE);

	return(TRUE);
}

/*
	寻找到特定进程的地址空间中的相应DLL模块
	找到后就卸载
*/
PBYTE EnumModules(LPCTSTR pszModuleName, DWORD dwPID) {
	HANDLE hSnapshot = INVALID_HANDLE_VALUE;
	MODULEENTRY32 me = {sizeof(me)};
	BOOL bFound = FALSE;
	__try {
		hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID);
		if (INVALID_HANDLE_VALUE == hSnapshot)
			__leave;
		if (!Module32First(hSnapshot, &me))
			__leave;
		do {
			if (!_tcscmp(pszModuleName, me.szModule) ||
				!_tcscmp(pszModuleName, me.szExePath)) {
				bFound = TRUE;
				__leave;
			}
		} while (Module32Next(hSnapshot, &me));

	}
	__finally {
		if (INVALID_HANDLE_VALUE != hSnapshot)
			CloseHandle(hSnapshot);
		if (bFound)
			return(me.modBaseAddr);
	}
	return(NULL);
}

/*
	将指定进程的地址空间中指定模块进行释放
*/
BOOL EjectDll(LPCTSTR pszModuleName, DWORD dwPID) {
	HANDLE hProcess = NULL;
	LPVOID lpMem = NULL;
	DWORD dwSize = 0, dwWrite = 0;
	HMODULE hMod = NULL;
	HANDLE hThread = NULL;
	LPTHREAD_START_ROUTINE pThreadProc = NULL;
	PBYTE pAddr = NULL;

	if (!(pAddr = EnumModules(pszModuleName, dwPID))) {
		_tprintf("模块可能已经被卸载,不存在.\r\n");
		return(TRUE);
	}
	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
		return(FALSE);
	dwSize = _tcslen(pszModuleName) + 1;
	lpMem = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (NULL == lpMem)
		return(FALSE);
	if (!WriteProcessMemory(hProcess, lpMem, pszModuleName, dwSize, &dwWrite))
		return(FALSE);
	if (!(hMod = GetModuleHandle("kernel32.dll")))
		return(FALSE);
	pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "FreeLibrary");
	hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, (LPVOID)pAddr, 0, NULL);
	if (NULL == hThread)
		return(FALSE);
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hProcess);
	CloseHandle(hThread);

	return(TRUE);
}

/*
	遍历进程,寻找对应名称的PID
*/
DWORD EnumProcesses(LPCTSTR pszProcessName) {
	HANDLE hSnapshot = INVALID_HANDLE_VALUE;
	PROCESSENTRY32 pe = {sizeof(pe)};
	BOOL fFind = FALSE;

	__try {
		hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
		if (INVALID_HANDLE_VALUE == hSnapshot)
			__leave;
		if (!Process32First(hSnapshot, &pe))
			__leave;
		do {
			if (!_tcscmp(pszProcessName, pe.szExeFile)) {
				fFind = TRUE;
				__leave;
			}
		} while (Process32Next(hSnapshot, &pe));
	}
	__finally {
		if (hSnapshot != INVALID_HANDLE_VALUE)
			CloseHandle(hSnapshot);
		if (fFind) 
			return(pe.th32ProcessID);
	}
	
	return(-1);
}

/* 
	pszDllName: 注入的DLL名称(要用绝对路径)
	pszProcessName: 进程名称, 是被注入目标
*/
BOOL InjectDll(LPCTSTR pszProcessName, LPCTSTR pszDllName) {
	DWORD dwPID = 0;
	HANDLE hProcess = NULL, hThread = NULL;
	LPVOID lpMem = NULL;
	DWORD dwSize = 0, dwWritten = 0;
	LPTHREAD_START_ROUTINE lpProcThread = NULL;
	HMODULE hMod = NULL;
	BOOL fOk = FALSE;

	if (NULL == pszProcessName || NULL == pszDllName)
		return(FALSE);
	if (-1 == (dwPID = EnumProcesses(pszProcessName)))
		return(FALSE);
	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
		return(FALSE);
	dwSize = _tcslen(pszDllName) + 1;
	__try {
		lpMem = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
		if (NULL == lpMem)
			__leave;
		if (!WriteProcessMemory(hProcess, lpMem, pszDllName, dwSize, &dwWritten))
			__leave;
		hMod = LoadLibrary("kernel32.dll");
		if (NULL == hMod)
			__leave;
		lpProcThread = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryA");
		if (NULL == lpProcThread)
			__leave;
		hThread = CreateRemoteThread(hProcess, NULL, 0, lpProcThread, (LPVOID)lpMem, 0, NULL);
		if (NULL == hThread)
			__leave;
		WaitForSingleObject(hThread, INFINITE);
		fOk = TRUE;
	}
	__finally {
		if (hProcess)
			CloseHandle(hProcess);
		if (hThread)
			CloseHandle(hThread);
		if (fOk)
			return(TRUE);
	}

	return(FALSE);
}

#define DLLPATH ("C:\\Documents and Settings\\Administrator\\My Documents\\Visual Studio 2010\\Projects\\IATHook\\Debug\\calcHook.dll")
#define EXENAME ("calc.exe")
int _tmain() {

	InjectDll(EXENAME, DLLPATH);
	system("pause");
	DWORD dwPID = EnumProcesses(EXENAME);
	if (EjectDll(DLLPATH, dwPID))
		_tprintf("Yes\r\n");
	else
		_tprintf("No\r\n");
	system("pause");

	return(0);
}

接着是DLL代码:

#include <windows.h>
#include <tchar.h>

typedef BOOL (WINAPI *PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString);

FARPROC g_pOrgFunc = NULL;

// 新的SetWindowTextW
BOOL WINAPI MySetWindowTextW(HWND hWnd, LPWSTR lpString) {
	WCHAR *pNum = L"零一二三四五六七八九";
	int i = 0, nLen = 0, nIndex = 0;

	nLen = wcslen(lpString);
	for (i = 0; i < nLen; ++i) 
		for (nIndex = 0; nIndex < 10; ++nIndex) 
			if (lpString[i] == (nIndex + L'0')) 
				lpString[i] = pNum[nIndex];


	return(((PFSETWINDOWTEXTW)g_pOrgFunc)(hWnd, lpString));
}

// IATHOOK代码
BOOL IAT_Hook(LPCTSTR szDllName, FARPROC pfnOrg, FARPROC pfnNew){
	HMODULE hMod = NULL;
	LPCTSTR szLibName = NULL;
	PIMAGE_IMPORT_DESCRIPTOR pImportDesc = NULL;
	PIMAGE_THUNK_DATA pThunk = NULL;
	DWORD dwOldProtect, dwRVA;
	PBYTE pAddr = NULL;

	hMod = GetModuleHandle(NULL);
	pAddr = (PBYTE)hMod;
	pAddr += *((DWORD *)&pAddr[0x3C]);
	dwRVA = *((DWORD *)&pAddr[0x80]);

	pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((PBYTE)hMod + dwRVA);
	for (; pImportDesc->Name; ++pImportDesc) {
		szLibName = (LPCTSTR)((PBYTE)hMod + pImportDesc->Name);
		if (!_tcscmp(szLibName, szDllName)) {
			pThunk = (PIMAGE_THUNK_DATA)((PBYTE)hMod + pImportDesc->FirstThunk);
			for (; pThunk->u1.Function; ++pThunk) 
				if ((DWORD)pfnOrg == pThunk->u1.Function) {
					VirtualProtect((LPVOID)&pThunk->u1.Function, 4, PAGE_EXECUTE_READWRITE, &dwOldProtect);
					pThunk->u1.Function = (DWORD)pfnNew;
					VirtualProtect((LPVOID)&pThunk->u1.Function, 4, dwOldProtect, &dwOldProtect);
				}
		}
	}

	return(TRUE);
}


BOOL WINAPI DllMain(HINSTANCE hInst, DWORD fdwReason, LPVOID lpReserved) {
	switch(fdwReason) {
	case DLL_PROCESS_ATTACH:
		g_pOrgFunc = GetProcAddress(GetModuleHandle("USER32.dll"), "SetWindowTextW");
		IAT_Hook("USER32.dll", g_pOrgFunc, (FARPROC)MySetWindowTextW);
		break;
	case DLL_PROCESS_DETACH:
		break;
	}

	return(TRUE);
}

注意要把在注入程序中要把DLL写成绝对路径。

(完)

 

 

 

Kiopler
关注
专栏目录
Hook计算器的程序-源代码仅供参考
02-28
Hook计算器的程序-源代码仅供参考 Hook作用很大,但还未研究透啊。
通过修改DLL文件IAT表来实现hook开发包源码
06-17
通过修改DLL文件IAT表来实现hook开发包源码
Hook技术:通过Dll注入Hook IAT计算器显示文数字(附源码)
weixin_43742894的博客
05-09 2924
计算机的计算器是我们常用的一个小工具(小时候,总是计算机计算器分不开来,哈哈)。 众所周知,计算器在计算的过程,显示的都是阿拉伯数字,因为阿拉伯数字是一个全世界通用的表示方法,那么如何让计算器显示文数字"一、二、三......"呢? 这里我们就可以使用Dll注入hook关键API实现**计算器显示文数字**。
C# Hook 钩子
07-11
C# 的钩子类,可以禁用键盘按键
钩子注入计算器
06-30
钩子注入计算器
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb iat的例子
09-14
在VB(Visual Basic)环境实现IAT钩子,可以让开发者能够监控或修改其他程序对特定API的调用。 描述 "Sample for how to hook IAT table" 提供了一个实例,展示了如何挂钩IAT表。这通常包括找到目标程序的IAT,...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT实现hook API的方法。本示例展示了完整的IAT hook例子
C++封装IATHOOK类实例
09-04
然后,`CreateToolhelp32Snapshot`和`Module32First/Module32Next`函数用于获取进程的模块列表,这样可以遍历每个模块并调用`ReplaceIATEntryInOneMod`函数来修改特定模块的IAT条目。 `ReplaceIATEntryInOneMod`...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
基于 IAT hook文件隐藏功能 完整代码+报告
最新发布
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入目标进程(本实验选择注入到“cmd.exe”...
Hook自己的程序
04-03
最基础的Hook小程序,高手就不用下了http://www.cnblogs.com/muchme/p/4388885.html
c# 计算器源码
11-25
c#自己写的计算器源代码,可以直接使用,也可以自己修改后按自己需求使用。
钩子
Corey的专栏
11-22 3002
关键字 HOOK 钩子 应用 技术原作者姓名 张增强 介绍钩子(Hook)技术,以其强大的功能,被广泛的应用于系统监视,消息管理。他可以在消息到达目标窗口以前截获消息,并任意的处理系统消息,达到一般应用程序无法达到的功能。本文主要从钩子的种类,作用,应用入手,概要的介绍了钩子技术的应用和作用。并附加一个SHELL钩子的例子和过程。 读者评分 3 评分次数 1 正文当你创建一个钩子时,W
逆向工程--失业的娱乐
m0_43422086的博客
01-19 717
前段时间在网上看了IAT Hook的文章,也正好期末提前放假,闲着想自己也想试一试,于是跟着网上的教程实现了汉化Windows系统自带的计算器实现的话只应用到了dll注入IAT Hook实现起来也比较简单。 大概实现思路是:写一个dlldll钩取显示数字的目标API(usr32.SetWindowTextW),在执行该函数前,将缓冲区内的阿拉伯数字0~9改为汉字的零~九,然后将dll注入目标进程,即可实现该功能。不再赘述,直接写出我的具体实现步骤: 一、写一个...
[dll注入实现IAT勾取] 计算器显示
diheqiu3577的博客
09-10 868
勾取dll源码详解: 首先在创建时候来保存原始IAT地址到全局变量,然后通过Hook_iat函数来进行iat函数的勾取 BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) { switch( fdwReason ) { case D...
《逆向工程核心原理》学习笔记(四):API钩取
闵行小鱼塘
05-20 2959
继续学习《逆向工程核心原理》,本篇笔记是第四部分:API钩取,主要介绍了调试钩取、DLL注入实现IAT钩取、API代码修改钩取和全局API钩取等内容
C++ 实现DLL注入(一)实现
明夕何夕0x00
06-06 2556
直接上代码了//FMethod.h#pragma once#include #include #include int FMethod(char * c_str);BOOL LoadDll(DWORD dwProcessId,LPTSTR lpszDllName);//FMethod.cpp#include "FMethod.h"int FMethod(char * c_str){ //打开 c_
C#实现Hook功能详解
u014659211的专栏
05-27 3780
发布一个自己写的用于Hook .Net方法的类库,代码量不大,完全的C#代码实现,是一个比较有趣的功能,分享出来希望能和大家共同探讨 安装:Install-Package DotNetDetour 源码:http://xiazai.jb51.net/201701/yuanma/DotNetDetour_jb51.rar 1.为何想做这个 说到hook大家都应该不陌生,就是改变函数的执行流程,让本应该执行的函数跑到另一个函数执行,这是个很有用也很有趣的功能(例如获取函数参数信息,改变函数执行流程,计
开机自启动的几种方式
輚至消亡
06-30 7947
0x01 快速自启动目录 快速启动目录自启动方式源于Windows的一个目录,这个目录一般叫"启动"或者"Startup"。位于该目录下的PE文件会在开机后进行自启动。由于不同版本的Windows启动目录的路径都是不同的,所以我们用一个SHGetSpecialFolderPath来获取该路径。该API位于ShlObj.dll。我们用隐式载入方式获取。先看MSDN: 该API有四个参数。...
C++实现IATHOOK类封装及静态成员应用
"C++封装IATHOOK类实例用于实现IAT(Import Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统IATPE(Portable Executable)文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值