【Windows系统编程】06.HotFixHook与进程通信(详解HotFixHook)

于 2023-08-17 23:13:34 发布
阅读量445 收藏
点赞数 1
分类专栏: Windows系统编程 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/132352624
版权

上一讲讲到的InlineHook,每次Hook的时候,都要读写两次内存(先Hook,再还原)这种Hook方式,性能比较低,今天我们讲的这种Hook方式,可以说是InlineHook的升级版本

HotFix(热补丁)

我们先来讲讲原理:

我们继续来看看目标程序反汇编:

770A8E19 | CC                       | int3                                    |
770A8E1A | CC                       | int3                                    |
770A8E1B | CC                       | int3                                    |
770A8E1C | CC                       | int3                                    |
770A8E1D | CC                       | int3                                    |
770A8E1E | CC                       | int3                                    |
770A8E1F | CC                       | int3                                    |
770A8E20 | 8BFF                     | mov edi,edi                             |
770A8E22 | 55                       | push ebp                                |
770A8E23 | 8BEC                     | mov ebp,esp                             |
770A8E25 | 833D 8C8C0D77 00         | cmp dword ptr ds:[770D8C8C],0           |
770A8E2C | 74 22                    | je user32.770A8E50                      |
770A8E2E | 64:A1 18000000           | mov eax,dword ptr fs:[18]               |
770A8E34 | BA 18930D77              | mov edx,user32.770D9318                 | edx:"榍\f"
770A8E39 | 8B48 24                  | mov ecx,dword ptr ds:[eax+24]           | ecx:"榍\f"
770A8E3C | 33C0                     | xor eax,eax                             |
770A8E3E | F0:0FB10A                | lock cmpxchg dword ptr ds:[edx],ecx     | edx:"榍\f", ecx:"榍\f"
770A8E42 | 85C0                     | test eax,eax                            |
770A8E44 | 75 0A                    | jne user32.770A8E50                     |
770A8E46 | C705 288D0D77 01000000   | mov dword ptr ds:[770D8D28],1           |
770A8E50 | 6A FF                    | push FFFFFFFF                           |
770A8E52 | 6A 00                    | push 0                                  |
770A8E54 | FF75 14                  | push dword ptr ss:[ebp+14]              |
770A8E57 | FF75 10                  | push dword ptr ss:[ebp+10]              |
770A8E5A | FF75 0C                  | push dword ptr ss:[ebp+C]               |
770A8E5D | FF75 08                  | push dword ptr ss:[ebp+8]               |
770A8E60 | E8 0BFEFFFF              | call <user32.MessageBoxTimeoutW>        |
770A8E65 | 5D                       | pop ebp                                 |
770A8E66 | C2 1000                  | ret 10                                  |

我们发现呢,在MessageBox API之前,还有一堆int3,而这些int3是没用的,我们是否能用这点空余的内存,来构造一个jmp指令,来跳转到我们HOOK的函数?

很明显,jmp(E9)指令占一个字节,32位环境下,地址也占4个字节,而这里int3的数目,足够让我们来构造一个指令了

  • 思路:

    MessageBox函数第一句指令,mov edi,edi 实际上在32位环境下并没有什么意义,我们利用这个指令的两个字节,跳转到他上面的5个字节,构造跳转到我们自己的函数地址

    这样的话,我们就要修改7个字节的数据

  • 实操演示:

    我们还是利用动态库,注入的方式完成Hook:

    dll:

    // dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"

BOOL hotFixHook(const WCHAR* pszModuleName, const char* pszFuncName, PROC pHookFunc) {
	//构造段跳转指令:
	BYTE ShortJmp[2] = { 0xEB,0xF9 };
	//替换5个int3的jmp指令:
	BYTE JmpCode[5] = { 0xE9,0, };

	HMODULE hModule = GetModuleHandle(pszModuleName);
	if (hModule == INVALID_HANDLE_VALUE) {
		MessageBox(NULL, L"打开进程失败", L"错误", NULL);
		return FALSE;
	}

	//获取函数地址
	FARPROC pFuncAddr = GetProcAddress(hModule, pszFuncName);

	//修改内存属性
	DWORD dwOldProcAddrProtect = 0;
	VirtualProtectEx(GetCurrentProcess(), (LPVOID)((DWORD)pFuncAddr - 5), 7, PAGE_EXECUTE_READWRITE, &dwOldProcAddrProtect);
	DWORD JmpAddr = (DWORD)pHookFunc - (DWORD)pFuncAddr;
	*(DWORD*)(JmpCode + 1) = JmpAddr;
	//修改内存
	memcpy((LPVOID)((DWORD)pFuncAddr - 5), JmpCode, 5);
	memcpy(pFuncAddr, ShortJmp, 2);
	//改回内存属性
	VirtualProtectEx(GetCurrentProcess(), pFuncAddr, 7, dwOldProcAddrProtect, &dwOldProcAddrProtect);
	return TRUE;
}

BOOL UnHook(const WCHAR* pszModuleName, const char* pszFuncName) {
	//构造段跳转指令:
	BYTE ShortJmp[2] = { 0x8B,0xFF };
	//替换5个int3的jmp指令:
	BYTE JmpCode[5] = { 0x90,0x90,0x90,0x90,0x90 };

	HMODULE hModule = GetModuleHandle(pszModuleName);
	if (hModule == INVALID_HANDLE_VALUE) {
		MessageBox(NULL, L"打开进程失败", L"错误", NULL);
		return FALSE;
	}

	//获取函数地址
	FARPROC pFuncAddr = GetProcAddress(hModule, pszFuncName);

	//修改内存属性
	DWORD dwOldProcAddrProtect = 0;
	VirtualProtectEx(GetCurrentProcess(), (LPVOID)((DWORD)pFuncAddr - 5), 7, PAGE_READWRITE, &dwOldProcAddrProtect);
	//修改内存
	memcpy((LPVOID)((DWORD)pFuncAddr - 7), JmpCode, 5);
	memcpy(pFuncAddr, ShortJmp, 2);
	//改回内存属性
	VirtualProtectEx(GetCurrentProcess(), pFuncAddr, 7, dwOldProcAddrProtect, &dwOldProcAddrProtect);
	return TRUE;
}


typedef int
(WINAPI
	*fnMyMessageBox)(
		_In_opt_ HWND hWnd,
		_In_opt_ LPCWSTR lpText,
		_In_opt_ LPCWSTR lpCaption,
		_In_ UINT uType);

int WINAPI
MyMessageBox(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCWSTR lpText,
	_In_opt_ LPCWSTR lpCaption,
	_In_ UINT uType) {
	//如果我们还是通过正常流程调用MessageBOx,就会进入死循环,这里通过函数指针的方式调用,跳过前两字节(我们构造的短跳转指令)
	fnMyMessageBox Func = (fnMyMessageBox)((DWORD)MessageBox + 2);
	int nRet = Func(NULL, L"Hook", L"Hook", NULL);
	return nRet;
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
		hotFixHook(L"User32.dll", "MessageBoxW", (PROC)MyMessageBox);
		break;
    case DLL_THREAD_ATTACH:
		break;
    case DLL_THREAD_DETACH:
		break;
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

Hook测试:

运行目标程序:

运行目标程序

注入dll:

注入dll

Hook成功:

Hook成功

进程通信

1.文件映射

进程一:

// Process1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

#define BUF_SIZE 256
TCHAR szName[] = L"WdigObject";

int main()
{
	//为指定文件创建或打开命名或未命名的文件映射对象
	HANDLE hFileMap = CreateFileMapping(
		INVALID_HANDLE_VALUE,      //要从中创建文件映射对象的句柄
		NULL,                      //安全属性
		PAGE_READWRITE,    //指定文件映射对象的页面保护
		0,                      //文件映射对象的最大大小的高阶 DWORD 
		BUF_SIZE,                  //文件映射对象最大大小的低序 DWORD
		szName                     //文件映射对象的名称
	);

	//将文件映射的驶入映射到调用进程的地址空间
	LPVOID lpMapAddr = MapViewOfFile(
		hFileMap,        //文件映射对象的句柄
		FILE_MAP_ALL_ACCESS,   //对文件映射对象的访问类型,用于确定页面的页面保护
		0,               //视图开始位置的文件偏移量的高顺序 DWORD 
		0,        //要开始视图的文件偏移量低序 DWORD
		BUF_SIZE             //要映射到视图的文件映射的字节数
	);

	CopyMemory(lpMapAddr, L"Hello FileMap", (wcslen(L"Hello FileMap")+1)*2);
	getchar();
	//从调用进程的地址空间中取消映射文件的映射视图。
	UnmapViewOfFile(lpMapAddr);
	CloseHandle(hFileMap);
}

进程二:

// Process2.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

#define BUF_SIZE 256
TCHAR szName[] = L"WdigObject";

int main()
{
    //打开文件映射
	HANDLE hFileMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, FALSE, szName);
	LPVOID lpBuffer = MapViewOfFile(hFileMap, FILE_MAP_ALL_ACCESS, 0, 0, BUF_SIZE);

	MessageBox(NULL, (LPCWSTR)lpBuffer, L"success", NULL);

	UnmapViewOfFile(lpBuffer);
	CloseHandle(hFileMap);
}

通信测试:

先运行进程一,在运行进程二:

通信成功:

通信成功

我们来看看文件映射完成进程通信的原理:

就是生成一个文件映射,两个进程都能访问这些内存,就完成了进程通信

2.命名管道

进程一:

// Process1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

int main()
{
	//创建命名管道的实例,并返回后续管道操作的句柄
	HANDLE hPipe = CreateNamedPipe(
		L"\\\\.\\pipe\\Communication",          //管道的唯一名称
		PIPE_ACCESS_DUPLEX | FILE_FLAG_OVERLAPPED,//打开模式
		PIPE_TYPE_BYTE,                        //管道模式
		1,                                     //可为此管道创建的最大实例数
		1024,                                  //要为输出缓冲区保留的字节数
		1024,                                  //要为输入缓冲区保留的字节数
		0,                                     //
		NULL                                   //安全属性
	);

	//创建一个事件
	HANDLE hEvent = CreateEvent(NULL, TRUE, FALSE, NULL);

	//使命名管道服务进程能够等待客户端进程连接到命名管道的实例
	OVERLAPPED ovlap;
	ZeroMemory(&ovlap, sizeof(ovlap));
	ovlap.hEvent = hEvent;

	if (!ConnectNamedPipe(hPipe, &ovlap)) {
		//这里需要注意,如果成功,也会报错
		if (GetLastError() != ERROR_IO_PENDING) {
			std::cout << "ConnectNamedPipe Failed Code:" << GetLastError() << std::endl;
			CloseHandle(hPipe);
			CloseHandle(hEvent);
			return -1;
		}
	}

	if (WaitForSingleObject(hEvent, INFINITE) == WAIT_FAILED) {
		std::cout << "WaitForSingleObject Error" << GetLastError() << std::endl;
		CloseHandle(hPipe);
		CloseHandle(hEvent);
		return -1;
	}

	CloseHandle(hEvent);
	char szBuffer[0x100] = { 0 };
	DWORD dwReadSize = 0;
	ReadFile(hPipe, szBuffer, 0x100, &dwReadSize, NULL);
	std::cout << szBuffer << std::endl;

	char WriteBuffer[] = "Hello";
	DWORD dwWriteSize = 0;
	WriteFile(hPipe, WriteBuffer, strlen(WriteBuffer) + 1, &dwWriteSize, NULL);

	system("pause");
	return 0;
}

进程二:

// Process2.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

int main()
{
	//等待命名管道
	if (!WaitNamedPipe(
		L"\\\\.\\pipe\\Communication",    //命名管道的名称
		NMPWAIT_WAIT_FOREVER             //函数等待命名管道实例可用的毫秒数
	)) {
		std::cout << "WaitNamedPipe Failed Code:" << GetLastError() << std::endl;
		return -1;
	}

	//创建或打开文件或 I/O 设备
	HANDLE hFile = CreateFile(
		L"\\\\.\\pipe\\Communication",     //要创建或打开的文件或设备的名称
		GENERIC_READ | GENERIC_WRITE,     //请求对文件或设备的访问权限
		NULL,                             //请求的文件或设备的共享模式
		NULL,                             //安全属性
		OPEN_EXISTING,                    //要对存在或不存在的文件或设备执行的操作
		FILE_ATTRIBUTE_NORMAL,            //文件或设备属性和标志
		NULL
	);

	char WriteBuffer[] = "Hello";
	DWORD dwWrittenByte = 0;
	WriteFile(hFile, WriteBuffer, strlen(WriteBuffer) + 1, &dwWrittenByte, NULL);

	char lpBuffer[0x100] = { 0 };
	DWORD dwReadBytes = 0;
	ReadFile(hFile, lpBuffer, 0x100, &dwReadBytes, NULL);
	std::cout << lpBuffer << std::endl;
	system("pause");
	return 0;

}

通信测试:

先运行进程一,在运行进程二

通信成功:

通信成功

Shad0w-2023
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HotFixHook & 原理与实现(2)
m0_64973256的博客
12-21 187
HotFixHook也可以称为热补丁,这种HOOK方法本质上与InlineHook没有什么区别,但是它的效率更高,之所以这样,是因为HotFix的指令替换原理与Inline不同。InlineHook因为占用了函数头至少5个字节的空间,所以这种方式是影响函数正常运行的,如果需要在HOOK函数中调用原有的执行流程,那么就必须在调用原有流程之前卸载掉HOOK,也就是将被替换的字节码还原。而当退出之前如果想要继续接管这个函数,那么又需要将HOOK代码再次替换掉。那么一来二去,每次调用HOOK函数都需要摘一次挂一..
使用hotfix技术来HOOK任意位置代码的手艺
Netfilter
03-26 3183
假设一个内核函数,test,如下: void test() { condition = update_something(); if (condition == 1) { M1(); } else { return; } } 现在需要统计在test中进入M1函数的次数,怎么办? 很简单,使用kpatch技术即可,或者,使用kprobe技术,亦可。但这些成熟的技术没有可玩性,它们属...
Windows黑客基础(1):Hook本进程的消息
06-09 214
1.需要用到的函数 学过Windows编程的应该都知道,Windows的核心机制是消息机制,消息是操作系统告诉应用程序发生了什么事情,比如当用户移动了鼠标或者按键后,操作系统会通知应用程序 实际上在Windows下,我们可以监控操作系统发送给另外一个进程的消息,然后决定对这个消息怎么处理,比如继续发送,或者改变消息,或者不让这个消息发给应用程序,也可以让应用程序处理完消息后通知监控的...
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4321
HookWindows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
Windows Hook原理与实现
热门推荐
安全杂货铺
08-06 4万+
Windows Hook原理与实现 教程参考自《逆向工程核心原理》 1.概述 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理...
WINDOWS系统文件详解.rar
04-05
WINDOWS系统文件详解.rar WINDOWS系统文件详解.rar WINDOWS系统文件详解.rar WINDOWS系统文件详解.rar WINDOWS系统文件详解.rar WINDOWS系统文件详解.rar
3.进程以及其通信与网络编程详解
02-25
网络编程在Linux中主要基于套接字(socket)接口,它是进程间通信的一种形式,但扩展到网络环境,允许不同主机间的进程通信。套接字编程包括服务器端和客户端的建立、连接、数据传输和关闭等步骤。TCP(传输控制协议...
进程间通信详解.txt
10-11
面试题目,大公司笔试,行业内最新资讯,优秀的教学资源,很多很详细的例子,非常有助于学习道路上前进,并且是最经典的例子,最经典的教材
详解matlab/simulink通信系统建模与仿真代码及PPT
11-18
1. **基础理论讲解**:通信系统的基本概念,如信号与系统、调制解调技术、信道模型、噪声和干扰、同步原理等。 2. **Simulink组件介绍**:Simulink库中的通信模块,如信号源、滤波器、调制器、解调器、AWGN信道模型...
海德汉530系统编程详解.pdf
12-03
海德汉530系统编程详解 海德汉530系统手工编程详解档_计算机软件及应用_IT/计算机_专业资料。海德汉系统(米克朗机床)手工编程详解
各大热补丁方案分析和比较
马克宅只是个码农
11-24 1708
最近开源界涌现了很多热补丁项目,但从方案上来说,主要包括[Dexposed](https://github.com/alibaba/dexposed)、[AndFix](https://github.com/alibaba/AndFix)、[ClassLoader](http://bugly.qq.com/blog/?p=781)(来源是原QZone,现淘宝的工程师陈钟,在15年年初就已经开始实现)三种。
阿里百川HotFix的使用
xiaolongonly的博客
01-18 1778
热修复技术前景分析近两年来,热修复技术在安卓开发圈儿成为焦点。随之而来的是,相关的解决方案也不断涌现。为此,本文将热修复的几大流派分别做较深入的阐述,以使关注这一技术的开发同学有更深的了解。在正式切入话题之前,我们先来看看传统的开发流程究竟有哪些痛点。概括之,可以用三个“太”来描述:1.重新发布版本的代价太大;2.用户下载安装的成本太高;3.BUG修复不及时造成用户体验太差。正因为如此,热修复技术才
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8165
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
[原创]一个简单的windows HOOK - 隐藏进程管理器中特定的进程
享受开发,颠倒银河
09-07 4960
一个简单的windows HOOK - 隐藏进程管理器中特定的进程 (适用平台:windows 2000 sp4,windows XP sp2)         屏蔽任务管理器中的进程名称有很多种方法,可以在ring0级做文章:修改内核进程链表,拦截内核API等。我这里只给出win32下的实现,原理是最普通的 windows 钩子机制。实现语言 win32 汇编 (masm32
针对指定进程进行Hook
谢绝留言与私信
03-30 3310
前言 昨天,写了一个Demo, 对指定进程进行Hook, 就是SetWindowsHookEx参数不同. 看msdn+自己做试验,试试就能写出来.demo中假定要Hook键盘和鼠标消息, 用DebugView打印出来发生的键盘和鼠标消息. 打印鼠标消息时, 要将鼠标消息的值,转成字符串. 因为是Unicode版, 查了半天资料,也不知道怎么写这个宏(将鼠标消息值,转成对应的Unicode字
windows下面hook系统api实现禁止任务管理器关闭程序
nanjun520的专栏
07-28 7524
为了保护我们的进程不被人随便强制关闭,我们需要一种机制来实现,网上大概有几种方式:1.写一个驱动程序,在驱动程序里面hook系统的api来实现,例如ssdt方式,等等。2.就是在应用层挂钩系统api,这种方式也就远程注入,全局钩子啊等等,只是网上也有很多,不过很多在xp上是正常的到了win7 64就失效了。还有最简单的就是启动两个进程相互监视对方,(这个可能看起来不专业)。 网上方法很多,我写这个
Windows Hook的简单介绍——此树是我栽,此路是我开
CodeBowl的博客
09-08 2407
千里之行,始于足下! 今天是正式启程的第一天,一直明白自己的缺点就是不够坚持,同时没有坚定目标,或许是目标不够诱人吧。但是如果我可以成为这个领域中相当牛逼的人,那还是十分有吸引力的。 之前学习的过程中,学会了一项技术,时常感觉“无用武之地”,这应该是我自己学习的一个误区,之后自己会多在实战中检验技术,也希望有大佬多多指点。 本文内容 本文将简单介绍Windows Hook的基本内容,以及一些自己的看法,希望可以帮助您快速了解这一内容。 HOOK是什么? Hook,中文里常常被译作“钩子”或者“挂钩”,其实是
SetWindowsHook详解及应用实例
tosim的博客
12-05 2万+
SetWindowsHook详解及应用实例
Windows中的Hook机制
Albert_weiku的博客
06-27 4220
windows中的Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。...
C语言Windows编程:库函数详解
"这篇资料包含了全面且最新的C语言在Windows平台上的库函数,适用于进行C语言的Windows系统编程。" 在C语言中,Windows库函数是程序员与操作系统交互的重要工具,用于实现各种系统级别的操作,如文件管理、进程控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值