IAT hook实现 (修改pe中的导入表实现hook)

最新推荐文章于 2023-06-22 19:44:10 发布
最新推荐文章于 2023-06-22 19:44:10 发布
阅读量1.4k 收藏 3
点赞数 3
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252394/article/details/107491856
版权

IDA hook的编写

1. 实现hook的原理

在pe文件中有导入表。导入表中用函数名字和地址类似是key-value的形式,我们把这个地址改变做到hook的效果。以下所有代码是32位的只使用了c语言

之前分析过导入表,本文不在分析只实现hook
pe结构解析

实现所用到的Windows api

//用于获取当前模块的基地址  GetModuleHandleA(NULL)
HMODULE
WINAPI
GetModuleHandleA(
    _In_opt_ LPCSTR lpModuleName
    );
//用于修改内存属性,(可读、可写、可执行)
BOOL
WINAPI
VirtualProtectEx(
    _In_ HANDLE hProcess,
    _In_ LPVOID lpAddress,
    _In_ SIZE_T dwSize,
    _In_ DWORD flNewProtect,
    _Out_ PDWORD lpflOldProtect
    );

2. 加载当前模块的导入表的方法

char *image_base = GetModuleHandleA(NULL);
//dos头
IMAGE_DOS_HEADER *dos_head = (IMAGE_DOS_HEADER *)image_base;
//pe头
IMAGE_NT_HEADERS32 *pe_head = (IMAGE_NT_HEADERS32 *)((char *)image_base + dos_head->e_lfanew);
//导入表
IAT->import = (IMAGE_IMPORT_DESCRIPTOR *)((char *)image_base + pe_head->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

3.设计hook的结构

typedef struct IAT_string				//string
{
    char *str;
    int len;
}IAT_string;
//这个结构的数据不会改变
typedef struct IAT_function_data		//数组的数据
{
    IAT_string function_name;			//函数名字
    DWORD function_addr;				//函数地址所在内存的位置  image_base的偏移 FirstThunk
    DWORD function_addr_data;			//函数原来的地址 FirstThunk[i]
}IAT_function_data;

typedef struct IAT_function_data_arr	//数组
{
    struct IAT_function_data *arr;
    int size;							//当前的内存大小
    int len;							//当前数组的元素
}IAT_function_data_arr;

typedef struct IAT_struct
{
    HMODULE image_base;							//模块的基地址
    IMAGE_IMPORT_DESCRIPTOR *import;			//导入表
    IAT_function_data_arr function;				//当前模块的所有导入函数
    IAT_function_data_arr hook_function;		//已经hook的函数
}IAT_struct;

看完可能会不理解,我们一步一步来解析

4.数组的实现

有关于数组的api

//初始化IAT_function_data_arr结构
int init_function_data_arr(IAT_function_data_arr *arr);
//释放
int uninit_function_data_arr(IAT_function_data_arr *arr);
//添加一个元素
int add_function_data_arr(IAT_function_data_arr *arr, IAT_function_data *data);
//修改一个元素
int updata_function_data_arr(IAT_function_data_arr *arr, IAT_function_data *data, IAT_function_data *updata);
//删除一个元素
int del_function_data_arr(IAT_function_data_arr *arr, IAT_function_data *data);
4.1 初始化函数
int init_function_data_arr(IAT_function_data_arr *arr)
{
	if (arr == NULL)
	{
		return -1;
	}

	arr->len = 0;
	arr->size = 10;
	arr->arr = (IAT_function_data *)malloc(sizeof(IAT_function_data) * 10);
	if (arr->arr == NULL)
	{
		return -2;
	}

	return 0;
}

正常的初始化IAT_function_data_arr每一个元素,预分配10个元素的大小

4.2 释放函数
int uninit_function_data_arr(IAT_function_data_arr *arr)
{
	if (arr == NULL)
	{
		return -1;
	}

	arr->len = 0;
	arr->size = 0;
	free(arr->arr);

	return 0;
}

简单的清零,释放内存

4.3 添加一个元素
int add_function_data_arr(IAT_function_data_arr *arr, IAT_function_data *data)
{
	if (arr == NULL || data == NULL)
	{
		return -1;
	}
	//元素个数没有超过预分配的大小
	if (arr->size > arr->len)
	{
		memcpy(arr->arr + arr->len, data, sizeof(IAT_function_data));
		arr->len++;
	}
	else
	{
        //内存不够扩大内存
		arr->size *= 2;		
		arr->arr = (IAT_function_data *)realloc(arr->arr, sizeof(IAT_function_data)* arr->size);

		memcpy(arr->arr + arr->len, data, sizeof(IAT_function_data));
		arr->len++;
	}

	return 0;
}
4.4 修改一个元素
int updata_function_data_arr(IAT_function_data_arr *arr, IAT_function_data *data, IAT_function_data *updata)
{
	if (arr == NULL || data == NULL)
	{
		return -1;
	}
	//遍历查找
	for (int i = 0; i < arr->len; i++)
	{
		if (memcmp(arr->arr + i, data, sizeof(IAT_function_data)) == 0)
		{
            //修改
			memcpy(arr->arr + i, updata, sizeof(IAT_function_data));
			break;
		}
	}

	return 0;
}
4.5 删除一个元素
int del_function_data_arr(IAT_function_data_arr *arr, IAT_function_data *data)
{
	if (arr == NULL || data == NULL)
	{
		return -1;
	}
	//遍历查找
	for (int i = 0; i < arr->len; i++)
	{
		if (memcmp(arr->arr + i, data, sizeof(IAT_function_data)) == 0)
		{
            //删除
			arr->len--;
			memcpy(arr->arr + i, arr->arr + i + 1, (arr->len - i) * sizeof(IAT_function_data));

			break;
		}
	}

	return 0;
}
//按照下标删除
int del_function_data_arr_num(IAT_function_data_arr *arr, int i)
{
	if (arr == NULL || i < 0)
	{
		return -1;
	}

	if (arr->len > 0)
	{
		arr->len--;
		memcpy(arr->arr + i, arr->arr + i + 1, (arr->len - i) * sizeof(IAT_function_data));
	}

	return 0;
}

删除思路是查找到当前位置,把后面的所有元素直接覆盖当前的位置

5. 实现hook

相关api

//添加所有导入表中的函数
int add_all_function(IAT_struct *IAT, IMAGE_IMPORT_DESCRIPTOR *import);
//初始化结构
int init_IAT(IAT_struct *IAT);
//通过函数名字查找地址,实现hook
int function_name_hook(IAT_struct *IAT, const char *name, DWORD obj_addr);
//解除hook
int function_name_unhook(IAT_struct *IAT, const char *name);
//释放结构
int uninit_IAT(IAT_struct *IAT);
//辅助函数,调试用的,用于查看所有的函数表
int show_function_dir(IAT_struct *IAT);
//查看已经hook的函数名
int show_hook_name(IAT_function_data_arr *arr);
5.1 添加导入表中的函数
int add_all_function(IAT_struct *IAT, IMAGE_IMPORT_DESCRIPTOR *import)
{
	char end_buf[20] = { 0 };//判断结束标志
	IAT_function_data data = {0};//临时添加元素的变量

	for (int i = 0; memcmp(import + i, end_buf, 20); i++)
	{
        //获取函数名字的起始地址 和 函数地址的起始地址
 		DWORD *function_addr = (DWORD *)((char *)IAT->image_base + import[i].FirstThunk);
		DWORD *function_name = (DWORD *)((char *)IAT->image_base + import[i].OriginalFirstThunk);
        //添加所有的函数
		for (int i = 0; function_addr[i] != 0; i++)
		{			
            //函数名字
			data.function_name.str = (char *)IAT->image_base + function_name[i] + 2;
			data.function_name.len = strlen(data.function_name.str);
			//函数地址所在内存的位置
			data.function_addr = (DWORD)(function_addr + i);
			//函数地址
			data.function_addr_data = function_addr[i];
			//添加在数组中
			add_function_data_arr(&IAT->function,&data);
		}
	}

	return 0;
}
5.2 初始化函数
int init_IAT(IAT_struct *IAT)
{
	if (IAT == NULL)
	{
		return -1;
	}
	//获取模块基地址
	IAT->image_base = GetModuleHandleA(NULL);
	if (IAT->image_base == NULL)
	{
		return -2;
	}
	//初始化函数数组和hook数组
	init_function_data_arr(&IAT->function);
	init_function_data_arr(&IAT->hook_function);
	//dos头
	IMAGE_DOS_HEADER *dos_head = (IMAGE_DOS_HEADER *)IAT->image_base;
	IMAGE_NT_HEADERS32 *pe_head = (IMAGE_NT_HEADERS32 *)((char *)IAT->image_base + dos_head->e_lfanew);//pe头
	//导入表
	IAT->import = (IMAGE_IMPORT_DESCRIPTOR *)((char *)IAT->image_base + pe_head->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
	//添加所有导入表中的函数
	add_all_function(IAT, IAT->import);

	return 0;
}

初始化IAT结构的各个成员

5.3 释放函数
int uninit_IAT(IAT_struct *IAT)
{
	if (IAT == NULL)
	{
		return -1;
	}
	//释放两个数组的内存
	uninit_function_data_arr(&IAT->function);
	uninit_function_data_arr(&IAT->hook_function);

	return 0;
}

释放内存即可

5.4 核心函数(hook实现)
int function_name_hook(IAT_struct *IAT, const char *name, DWORD obj_addr)
{
	if (IAT == NULL)
	{
		return -1;
	}

	IAT_function_data_arr functions = IAT->function;
	//遍历函数表查找是否有这个函数
	for (int i = 0; i < functions.len; i++)
	{
        //字符串匹配函数名
		if (strstr(functions.arr[i].function_name.str, name))
		{
            //如果之前没有hook过就添加到hook数组里,,判断当前内存的值和一开始保存的值是否一样
			if (functions.arr[i].function_addr_data == *((DWORD*)functions.arr[i].function_addr))
			{
				add_function_data_arr(&IAT->hook_function, functions.arr + i);
			}

			DWORD tem;
            //修改内存属性
			VirtualProtectEx(GetCurrentProcess(), (LPVOID)functions.arr[i].function_addr, 4, PAGE_EXECUTE_READWRITE,&tem);
            //核心点改变导出表中的函数地址实现hook
			*((DWORD *)functions.arr[i].function_addr) = obj_addr;
            //改回内存属性
			VirtualProtectEx(GetCurrentProcess(), (LPVOID)functions.arr[i].function_addr, 4, tem, NULL);

			break;
		}
	}

	return 0;
}

hook的核心函数,遍历之前添加的导入表中的函数,用字符串匹配找到对应的地址,把这个地址改成我们直接写的函数地址,从而实现函数hook。

5.5 解除hook函数
int function_name_unhook(IAT_struct *IAT, const char *name)
{
	if (IAT == NULL)
	{
		return -1;
	}

	IAT_function_data_arr functions = IAT->hook_function;

	for (int i = 0; i < functions.len; i++)
	{
		if (strstr(functions.arr[i].function_name.str,name))
		{
			DWORD tem;
			VirtualProtectEx(GetCurrentProcess(), (LPVOID)functions.arr[i].function_addr, 4, PAGE_EXECUTE_READWRITE, &tem);
			*((DWORD *)functions.arr[i].function_addr) = functions.arr[i].function_addr_data;//改回之前的地址
			VirtualProtectEx(GetCurrentProcess(), (LPVOID)functions.arr[i].function_addr, 4, tem, NULL);
			//从hook表中删除
			del_function_data_arr_num(&IAT->hook_function, i);

			break;
		}
	}

	return 0;
}

6.实验hook

#include <stdio.h>
#include <Windows.h>

#include "IAT_hook.h"

size_t my_strlen(const char * _Str)
{
	printf("\n\n%s\n\n", _Str);

	return 0;
}

int my_strcmp(const char * _Str1, const char * _Str2)
{
	printf("%s\n", _Str1);
	printf("%s\n", _Str2);

	return 0;
}

int my_strcmp2(const char * _Str1, const char * _Str2)
{
	printf("1111111111111111111111\n");

	return 0;
}

int main(int argc, char *argv[])
{
	IAT_struct IAT;
	init_IAT(&IAT);

	//将strlen hook成 my_strlen
	function_name_hook(&IAT, "strlen", (DWORD)my_strlen);
	strlen("aaaaabbbb");  //会直接输出aaaaabbbb
	show_hook_name(&IAT.hook_function);//查看hook表

	function_name_hook(&IAT, "strcmp", (DWORD)my_strcmp);
	strcmp("aaaaabbbb", "bbbbbbaa--");
	show_hook_name(&IAT.hook_function);

	function_name_hook(&IAT, "strcmp", (DWORD)my_strcmp2);
	strcmp("aaaaabbbb", "bbbbbbaa--");
	show_hook_name(&IAT.hook_function);

	function_name_unhook(&IAT, "strcmp");//解除hook
	strcmp("aaaaabbbb", "aaaaaabbb");//查看是否有输出
	printf("%d\n", strcmp("aaaaabbbb", "aaaaaabbb"));//正常函数测试
	show_hook_name(&IAT.hook_function);

	uninit_IAT(&IAT);
	getchar();

	return 0;
}

输出结果:

在这里插入图片描述

可以看到我们hook成功了

yanghuo11
关注
专栏目录
导入注入(又称静态HOOK自动HOOK
LiWeiHua01的博客
06-06 435
导入注入自动HOOK静态HOOK
IAT Hook 导入
11-01 197
每一个模块都会有导出导入IAT HOOK就是修改导入内的函数,使得模块的 CALL [XXXXX] call到自己的函数里面去。执行自己的功能 模块开始是 IMAGE_DOS_HEADER,这个结构内有一个e_flew成员,这是个偏移,h_module+e_flew可以得到 IMAGE_NT_HEADER,Nt头内包含了很多信息,导入也在这里面。 PIMAGE_...
我的学习笔记之二——修改导入HOOK API(ring3_iat_exe_hook_Messagebox)
weixin_30408165的博客
12-23 102
IAT即Import Address Table 是PE(可以理解为EXE)的输入地址,我们知道一个程序运行时可以要调用多个模块,或都说要调用许多API函数,但这些函数不一定都在EXE本身,例如你调用Messagebox来显示一个对话框时,你只需要调用它,你并没有编写Messagebox的函数的实现过程,Messagebox的函数的实现过程实际上是在user32.dll这个库文件,当这个程序...
IAT Hook 原理分析与代码编写
CSDN
10-30 4858
首先第一处浅红色部分就是导出的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入地址而后面的黄色部分则为导入的大小,继续向下第三处浅蓝色部分则为资源地址与大小,第四处棕色部分就是基址重定位的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT的地址,后面的黄色为IAT的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入的结束,我们以第1段红色部分为例,最后一个地址偏移。
IAT HOOK
FlowShell的专栏
07-31 1983
iat hook,也就是修改导入实现函数调用的hook(运行时hook本进程)。注:iat(import address table,导入函数地址,在这里说明一下:导入是image import table,导入函数地址是 image import address table,这是两个不同的pe文件)  要实现iat hook,首先得清楚iat导入的结构。pe文件,不管是在硬
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
IATHOOK 易语言 还有PE文件格式解析 导入 导出
01-20
适合小白练习
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb iat的例子
09-14
在VB(Visual Basic)环境实现IAT钩子,可以让开发者能够监控或修改其他程序对特定API的调用。 描述 "Sample for how to hook IAT table" 提供了一个实例,展示了如何挂钩IAT。这通常包括找到目标程序的IAT,...
通过修改DLL文件的IAT(函数导入)来实现api hook的源码
03-28
本源码包提供了一种通过修改DLL文件的IAT(Import Address Table,函数导入)来实现API Hook的方法。下面将详细解释相关知识点。 1. API Hook:API Hook允许开发者拦截并替换特定的系统API调用,这样当其他程序...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT实现hook API的方法。本示例展示了完整的IAT hook例子
IAT Hook
weixin_30907523的博客
06-04 132
目录 IAT hook 一丶IAT 1.什么是 IAT. 2.怎么进行HOOK IAT hook 一丶IAT 1.什么是 IAT. 熟悉PE结构的应该知道.IAT导入. 其IAT如下: typedef struct _I...
修改IAT实现本进程API HOOK
leeeryan
06-08 1627
<br />//修改IAT实现本进程API HOOK //coded by xicao //QQ:327062448 //E-MAIL:xicao54007@sina.com #include <windows.h> #include <imagehlp.h>//ImageDirectoryEntryToData #pragma comment(lib,"imagehlp.lib") /******************************************************
windows 导入/导出 hook
最新发布
pureman_mega的博客
06-22 425
【代码】windows iat hook
注入(5)---导入注入(HookINT)
weixin_33841722的博客
10-13 309
导入是WindowsPE文件的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入PE加载器会根据导入来加载进程需要的其他DLL模块。 导入的数据结构如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; ...
修改IAT法来hook api
junjie1595的专栏
10-31 469
通过学习PE文件的基本知识,实现一个hook api,并利用MessageBox来简单测试: #include #include #include using namespace std; typedef int(WINAPI* PFNMESSAGEBOX)(HWND hWnd,LPCTSTR lpText,LPCTSTR lpCaption,UINT uType); int* a
android so hook原理,Android so注入(inject)和Hook技术学习(二)——Gothook导入hook...
weixin_42128141的博客
05-27 560
全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。GOT其实包含了导入和导出,导出指将当前动态库的一些函数符号保留,供外部调用,导入的函数实际是在该动态库调用外部的导出函数。这里有几个关键点要说明一下:(1) so文件的绝对路径和加载到内存的基址是可以通...
IatHook
yazi1297的专栏
06-06 509
转自:http://bbs.pediy.com/showthread.php?p=1287440 hook,想来很多小菜和我一样,看到这个词就觉得激动,如果有一天我也学会了hook,我一定会成为大神。回忆起来,一年前我刚刚 熟悉论坛的时候,也是这样的心情。今天这篇文章,专为祭奠这个想法。这篇文章介绍iat hook,也就是修改导入实现函数调用的hook (运行时hook本进程)。注:iat
IAT HOOK
weixin_44711063的博客
03-11 636
IAT HOOK IAT hook,通过把IAT的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值