Windows 平台下 Api的拦截(hook)

最新推荐文章于 2024-04-19 14:38:03 发布
最新推荐文章于 2024-04-19 14:38:03 发布
阅读量2.8k 收藏 3
点赞数 1
分类专栏: 代码人生 文章标签: api windows 平台 sockets null fun

   Api拦截并不是一种新技术,在许多的商业软件中也使用了这一技术。主要使用的方法有
两种:一种就是《windows核心编程》中介绍的修改PE文件的输入节,这种方法很安全,不过
有些麻烦,还有个缺点就是有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到
的情况。第二种方法就是古老而又实用的jmp XXXX技术。

    先讲一讲我们使用jmp的思路:
    1. 先找到系统代码在进程空间中的起始位置
    2. 然后我们写jmp "我们的代码" 的机器指令到系统代码的超始位置
    3. 这样系统在调用api之前,就会先执行我们的代码

    下来我们给出一些关键代码来具体说明一下:
    1. 得到系统代码的位置,保存原始的系统机器码:
        BYTE SysCode[5]; //机器指令占1B,32位指针(DWORD)占4B
        HMODULE hMod = GetModuleHandle( m_MoudleName );
        m_SysApi = (void*)GetProcAddress(hMod , m_SysApiName);
        memcpy( SysCode, m_SysApi, sizeof(SysCode) );
        
    2. 构造我们的jmp机器指令:
        BYTE JmpCode[5];
        /* 计算jmp指令的偏移地址: offset = userfun-sysfun-5 */
        JmpCode[0] = 0xE9; //jmp的机器指令
        *(DWORD*)(JmpCode+1) = (DWORD)((LONG)m_UserApi-(LONG)m_SysApi-5); //这儿是DWORD
        
    3. 写跳转指令
        bRet = WriteProcessMemory( GetCurrentProcess(), 
                (LPVOID)m_SysApi, (LPVOID)JmpCode, m_CodeLength ,NULL);
                
    4. ok,到这儿,我们就完成了拦截过程,有点要注意的是我们拦截函数的写法:
        首先,拦截函数的定义要和目标函数相同,最起码在数据类型上要兼容,主要是指参数的
        个数和参数类型的长度要一致!
        
        下面是个例子:
        int FAR PASCAL hook_recv(SOCKET s,char FAR * buf,int len,int flags)
        {
                int ret=0;
                if (ah3.isHooked)
                {
                        ah3.HookOff();  //先写回系统的代码,不然就是死循环!!!
                        ret = recv(s,buf,len,flags);
                        ah3.SetJumpCode();
        
                        WriteBufferToFile("c://hook_recv",buf,len);
                        return ret;
                }
                
                return 0;
        }

    5. 一点小问题:在win2k里面,系统在装载DLL时是同进程在同一个空间,所以这时的拦截
       只是拦截目标进程中的api,不影响系统的api;但在win9x中拦截的却是整个系统的api。
       
    6. ok,我们把我们的拦截函数写成一个DLL,再按照《远程线程技术(一)》中的方法,写一个
       挂接程序,把我们的DLL挂接到目标进程中去,就可以了!!

 =============================================================================

    下面给出完整的源代码(调试环境:VC6+W2k):

       //
        // ApiHook.h: interface for the CApiHook class.
        // by ssssss24cn@hotmail.com    2003.07.24
        //
        
        #if !defined(AFX_APIHOOK_H__F7B7A124_D1EA_407F_B199_8592E86D5FEC__INCLUDED_)
        #define AFX_APIHOOK_H__F7B7A124_D1EA_407F_B199_8592E86D5FEC__INCLUDED_
        
        #if _MSC_VER > 1000
        #pragma once
        #endif // _MSC_VER > 1000
        
        #include <windows.h>
        
        class CApiHook  
        {
        public:
                BOOL HookOff();
                BOOL HookOn(const char *szModName, const char *szFunName, void* userfun);
                BOOL SetJumpCode();
                CApiHook();
                virtual ~CApiHook();
        public:
                BOOL isHooked;
        
        private:
                BOOL SaveSysCode();
                void InitJmpCode();
        private:
                int m_CodeLength;
                void *m_UserApi;        //指向用户函数的指针
                void *m_SysApi;         //指向系统函数的指针
        
                char m_MoudleName[30];  //目标模块
                char m_SysApiName[80];  //目标函数
        
                BYTE SysCode[5];        //存放原来的系统机器码
                BYTE JmpCode[5];        //存放跳转指令的机器码
        };
        
        #endif // !defined(AFX_APIHOOK_H__F7B7A124_D1EA_407F_B199_8592E86D5FEC__INCLUDED_)
        

        //
        // ApiHook.cpp: implementation of the CApiHook class.
        // by ssssss24cn@hotmail.com    2003.07.24
        //
        
        #include "stdafx.h"
        #include "ApiHook.h"
        
        #ifdef _DEBUG
        #undef THIS_FILE
        static char THIS_FILE[]=__FILE__;
        #define new DEBUG_NEW
        #endif
        
        //
        // Construction/Destruction
        //
        
        CApiHook::CApiHook()
        {
                isHooked = FALSE;
        
                JmpCode[0]=0x00;
                SysCode[0]=0x00;
                m_CodeLength=sizeof(BYTE)*5;
                
                m_SysApi=NULL;
                m_UserApi=NULL;
        }
        
        CApiHook::~CApiHook()
        {
        
        }
        
        BOOL CApiHook::HookOn(const char *szModName, const char *szFunName, void *userfun)
        {
                if (!szModName) return FALSE;
                if (!szFunName) return FALSE;
        
                /
                memcpy(m_MoudleName,szModName,strlen(szModName)+1);
                memcpy(m_SysApiName,szFunName,strlen(szFunName)+1);
                m_UserApi = userfun;
                /
        
                //保存系统原始机器码
                if (!SaveSysCode())             return FALSE;
        
                //写跳转指令机器码
                InitJmpCode();
                
                //写目标代码
                return SetJumpCode();
        }
        
        BOOL CApiHook::HookOff()
        {       
                BOOL bRet;
                bRet = WriteProcessMemory(GetCurrentProcess(), m_SysApi, 
                        (LPVOID)SysCode, m_CodeLength,NULL);
                if(!bRet)
                {
                        return FALSE;
                }
        
                isHooked = FALSE;
                return TRUE;
        }
        
        void CApiHook::InitJmpCode()
        {
                /* 计算jmp指令的偏移地址: offset = userfun-sysfun-5 */
                JmpCode[0] = 0xE9; //jmp的机器指令
                *(DWORD*)(JmpCode+1) = (DWORD)((LONG)m_UserApi-(LONG)m_SysApi-5);
        }
        
        BOOL CApiHook::SaveSysCode()
        {
                HMODULE hMod = GetModuleHandle( m_MoudleName );
                if ( hMod == NULL )
                {
                        return FALSE;
                }
        
                m_SysApi = (void*)GetProcAddress(hMod , m_SysApiName);
                if (m_SysApi == NULL )
                {
                        return FALSE;
                }
        
                //save  
                memcpy( SysCode, m_SysApi, sizeof(SysCode) );
                
                return TRUE;
        }
        
        
        BOOL CApiHook::SetJumpCode()
        {
                //写目标地址
                BOOL bRet;
                bRet = WriteProcessMemory( GetCurrentProcess(),
                        (LPVOID)m_SysApi, (LPVOID)JmpCode, m_CodeLength ,NULL);
                if(!bRet)
                {
                        return FALSE;
                }
        
                isHooked = TRUE;
                return TRUE;
        }
        
        /
        // dll.cpp : Defines the entry point for the DLL application.
        // by ssssss24cn@hotmail.com    2003.07.24
        /
        #include "stdafx.h"
        #include <windows.h>
        #include <ImageHlp.h>
        #include <winsock2.h>
        #include "ApiHook.h"
        /*========================================================*/
        #pragma comment(lib, "ImageHlp")
        #pragma comment(lib, "ws2_32")
        /*========================================================*/
        int FAR PASCAL hook_send(SOCKET s,const char FAR * buf,int len,int flags);
        int FAR PASCAL hook_recv(SOCKET s,char FAR * buf,int len,int flags);
        /*========================================================*/
        void WINAPI HookOn();
        int WINAPI WriteBufferToFile(const char *fn, const char *bp, const unsigned long blen);
        /*========================================================*/
        HANDLE hDllSelf=NULL;
        CApiHook ah1,ah2,ah3,ah4;
        /*========================================================*/
        BOOL APIENTRY DllMain( HANDLE hModule, 
                                                  DWORD  ul_reason_for_call, 
                                                  LPVOID lpReserved
                                                  )
        {
                if (ul_reason_for_call==DLL_PROCESS_ATTACH)
                {
                        hDllSelf = hModule;
                        HookOn();
                }
                
            return TRUE;
        }
        
        //------------------------------------------------------------------//
        void WINAPI HookOn()
        {
                PROC new_fun=NULL;
        
                //ws2_32.dll
                new_fun = (PROC)hook_send;
                if (!ah1.HookOn("ws2_32.dll","send",new_fun))
                        MessageBox(NULL,"hook ws2_32.dll failed.","提示",16);
        
                //wsock32.dll
                if (!ah2.HookOn("wsock32.dll","send",new_fun))
                        MessageBox(NULL,"hook wsock32.dll failed.","提示",16);
        
                
        
                //ws2_32.dll
                new_fun = (PROC)hook_recv;
                if (!ah3.HookOn("ws2_32.dll","recv",new_fun))
                        MessageBox(NULL,"hook ws2_32.dll failed.","提示",16);
        
                //wsock32.dll
                if (!ah4.HookOn("wsock32.dll","recv",new_fun))
                        MessageBox(NULL,"hook wsock32.dll failed.","提示",16);
        
        }
        //------------------------------------------------------------------//
        int FAR PASCAL hook_send(SOCKET s,const char FAR * buf,int len,int flags)
        {
                int ret=0;
                if (ah1.isHooked)
                {
                        WriteBufferToFile("c://hook_send",buf,len);
        
                        ah1.HookOff();
                        ret = send(s,buf,len,flags);
                        ah1.SetJumpCode();
        
                        return ret;     
                }
        
                if (ah2.isHooked)
                {
                        WriteBufferToFile("c://hook_send",buf,len);
        
                        ah2.HookOff();
                        ret = send(s,buf,len,flags);
                        ah2.SetJumpCode();
        
                        return ret;     
                }
        
                return 0;
        }
        //------------------------------------------------------------------//
        int FAR PASCAL hook_recv(SOCKET s,char FAR * buf,int len,int flags)
        {
                int ret=0;
                if (ah3.isHooked)
                {
                        ah3.HookOff();
                        ret = recv(s,buf,len,flags);
                        ah3.SetJumpCode();
        
                        WriteBufferToFile("c://hook_recv",buf,len);
                        return ret;
                }
        
                if (ah4.isHooked)
                {
                        ah4.HookOff();
                        ret = recv(s,buf,len,flags);
                        ah4.SetJumpCode();
        
                        WriteBufferToFile("c://hook_recv",buf,len);
                        return ret;
                }
        
                return 0;
        }
        //------------------------------------------------------------------//
        int WINAPI WriteBufferToFile(const char *fn, const char *bp, const unsigned long blen)
        {
                FILE *fp;
                int wlen=-1;
                
                fp = fopen(fn,"wb+");
                if (fp)
                {
                        fseek(fp,0L,SEEK_END);
                        wlen = fwrite(bp,sizeof(char),blen,fp);
                        fclose(fp);
                }
                
                return wlen;
        }
        //------------------------------------------------------------------//

raul_qu
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows核心编程之API拦截
软件开发
08-06 1158
这个是替换自己进程的API static void WINAPI MySleep(int i) { //((MyTest)g_sleep)(i); MessageBoxA(NULL, "1","1",MB_OK); } void MyHook() { PSTR pszKernel = "kernel32.dll"; PSTR pszSleepName = "Sleep"; PSTR
拦截win32 API
ljz888666555的专栏
07-13 947
原文出处:http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。
windows下的API拦截---利用detours库操作
Leo的历练之道
01-29 6127
API拦截技术是一种比较常见的技术,对某个软件使用的系统API进行拦截,可以改变软件的行为,从而达到自己的目的。关于拦截技术的原理,Jeffy在《Windows核心编程》里面介绍的非常详尽,就是通过PE文件的导入表获取到保存了Windows API函数地址的那个地方,然后把API的内存地址保存起来,把存放API地址的那个地方的内容改成我们自定义函数的地址,这样就实现拦截效果了。可以简单看下流程
『网络安全科普』Windows安全之HOOK技术机制_windows hook技术
最新发布
ewii12567的博客
04-19 1088
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
温故:Windows API拦截框架
瞎捣鼓
06-29 742
Windows 系统API通常前5字节为固定的,因此改成JMP刚好合适: mov edi, edi push ebp mov ebp, esp 我要介绍的方法用了很久,稳定性相当不错的说。 定义一个中继函数 用来跳转到原函数+5字节处。 定义一个假函数,用来处理参数,然后返还给中继函数,假函数中可以伪造参数以及返回值。。你懂得 需要注意函数在代码段,需要修改内存属性,否则写入不了jmp指令。
windows用户称拦截api
04-06
Windows用户层下拦截api的原理与实现(附源码) (2008-03-29 16:15:07)转载▼ 标签: computer 杂谈 声明:本页所发布的技术文章及其附件,供自由技术传播,拒绝商业使用。本页文章及其附件的所有权归属本文作者,任何使用文档中所介绍技术者对其后果自行负责,本文作者不对其承担任何责任。 Email:redcoder163.com 目录 1 摘要 2 win2000和xp的内存结构和进程地址空间 3 函数堆栈的一些知识 4 关于拦截的整体思路 5 附件代码下载以及说明 一:摘要 拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截(内核层也可以用,关键是让你的拦截程序获得ring0特权).而用户层也分为许多种:修改PE文件导入表,直接修改要拦截api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要执行的地方,然后再返回到原地址.原来api的功能必须还能实现.否则拦截就失去作用了.修改文件导入表的方法的缺点是如果用户程序动态加载(使用LoadLibrary和GetProcAddress函数),拦截将变得复杂一些.所以这里介绍一下第二种方法,直接修改api,当然不是全局的.(后面会说到)   需要了解的一些知识:   1.windows内存的结构属性和进程地址空间   2.函数堆栈的一些知识 二:win2000和xp的内存结构和进程地址空间 windows采用4GB平坦虚拟地址空间的做法。即每个进程单独拥有4GB的地址空间。每个进程只能访问自己的这4GB的虚拟空间,而对于其他进程的地址空间则是不可见的。这样保证了进程的安全性和稳定性。但是,这4GB的空间是一个虚拟空间,在使用之前,我们必须先保留一段虚拟地址,然后再为这段虚拟地址提交物理存储器。可是我们的内存大部分都还没有1GB,那么这4GB的地址空间是如何实现的呢?事实上windows采用的内存映射这种方法,即把物理磁盘当作内存来使用,比如我们打开一个可执行文件的时候,操作系统会为我们开辟这个4GB的地址空间:0x00000000--0xffffffff。其中0x00000000--0x7fffffff是属于用户层的空间.0x80000000--0xffffffff则属于共享内核方式分区,主要是操作系统的线程调度,内存管理,文件系统支持,网络支持和所有设备驱动程序。对于用户层的进程,这些地址空间是不可访问的。任何访问都将导致一个错误。开辟这4GB的虚拟地址空间之后,系统会把磁盘上的执行文件映射到进程的地址空间中去(一般是在地址0x00400000,可以通过修改编译选项来修改这个地址)而一个进程运行所需要的动态库文件则一般从0x10000000开始加载。但是如果所有的动态库都加载到这个位置肯定会引起冲突。因此必须对一些可能引起冲突的dll编译时重新修改基地址。但是对于所有的操作系统所提供的动态库windows已经定义好了映射在指定的位置。这个位置会随着版本的不同而会有所改变,不过对于同一台机器上的映射地址来说都是一样的。即在a进程里映射的kernel32.dll的地址和在进程b里的kernel32.dll的地址是一样的。对于文件映射是一种特殊的方式,使得程序不需要进行磁盘i/o就能对磁盘文件进行操作,而且支持多种保护属性。对于一个被映射的文件,主要是使用CreateFileMapping函数,利用他我们可以设定一些读写属性:PAGE_READONLY,PAGE_READWRITE,PAGE_WRITECOPY.第一参数指定只能对该映射文件进行读操作。任何写操作将导致内存访问错误。第二个参数则指明可以对映射文件进行读写。这时候,任何对文件的读写都是直接操作文件的。而对于第三个参数PAGE_WRITECOPY顾名思义就是写入时拷贝,任何向这段内存写入的操作(因为文件是映射到进程地址空间的,对这段空间的读写就相当于对文件进行的直接读写)都将被系统捕获,并重新在你的虚拟地址空间重新保留并分配一段内存,你所写入的一切东西都将在这里,而且你原先的指向映射文件的内存地址也会实际指向这段重新分配的内存,于是在进程结束后,映射文件内容并没有改变,只是在运行期间在那段私有拷贝的内存里面存在着你修改的内容。windows进程运行所需要映射的一些系统dll就是以这种方式映射的,比如常用的ntdll.dll,kernel32.dll,gdi32.dll.几乎所有的进程都会加载这三个动态库。如果你在一个进程里修改这个映射文件的内容,并不会影响到其他的进程使用他们。你所修改的只是在本进程的地址空间之内的。事实上原始文件并没有被改变。 这样,在后面的修改系统api的时候,实际就是修改这些动态库地址内的内容。前面说到这不是修改全局api就是这个原因,因为他们都是以写入时拷贝的方式来映射的。不过这已经足够了,windows提供了2个强大的内存操作函数ReadProcessMemory和WriteProcessMemory.利用这两个函数我们就可以随便对任意进程的任意用户地址空间进行读写了。但是,现在有一个问题,我们该写什么,说了半天,怎么实现跳转呢?现在来看一个简单的例子: MessageBox(NULL, "World", "Hello", 0); 我们在执行这条语句的时候,调用了系统api MessageBox,实际上在程序中我没有定义UNICODE宏,系统调用的是MessageBox的ANSI版本MessageBoxA,这个函数是由user32.dll导出的。下面是执行这条语句的汇编代码: 0040102A push 0 0040102C push offset string "Hello" (0041f024) 00401031 push offset string "World" (0041f01c) 00401036 push 0 00401038 call dword ptr [__imp__MessageBoxA@16 (0042428c)] 前面四条指令分别为参数压栈,因为MessageBoxA是__stdcall调用约定,所以参数是从右往左压栈的。最后再CALL 0x0042428c 看看0042428c这段内存的值: 0042428C 0B 05 D5 77 00 00 00 可以看到这个值0x77d5050b,正是user32.dll导出函数MessageBoxA的入口地址。 这是0x77D5050B处的内容, 77D5050B 8B FF mov edi,edi 77D5050D 55 push ebp 77D5050E 8B EC mov ebp,esp 理论上只要改变api入口和出口的任何机器码,都可以拦截api。这里我选择最简单的修改方法,直接修改qpi入口的前十个字节来实现跳转。为什么是十字节呢?其实修改多少字节都没有关系,只要实现了函数的跳转之后,你能把他们恢复并让他继续运行才是最重要的。在CPU的指令里,有几条指令可以改变程序的流程:JMP,CALL,INT,RET,RETF,IRET等指令。这里我选择CALL指令,因为他是以函数调用的方式来实现跳转的,这样可以带一些你需要的参数。到这里,我该说说函数的堆栈了。 总结:windows进程所需要的动态库文件都是以写入时拷贝的方式映射到进程地址空间中的。这样,我们只能拦截指定的进程。修改目标进程地址空间中的指定api的入口和出口地址之间的任意数据,使之跳转到我们的拦截代码中去,然后再恢复这些字节,使之能顺利工作。 三:函数堆栈的一些知识 正如前面所看到MessageBoxA函数执行之前的汇编代码,首先将四个参数压栈,然后CALL MessageBoxA,这时候我们的线程堆栈看起来应该是这样的: | | <---ESP |返回地址| |参数1| |参数2| |参数3| |参数4| |.. | 我们再看MessageBoxA的汇编代码, 77D5050B 8B FF mov edi,edi 77D5050D 55 push ebp 77D5050E 8B EC mov ebp,esp 注意到堆栈的操作有PUSH ebp,这是保存当前的基址指针,以便一会儿恢复堆栈后返回调用线程时使用,然后再有mov ebp,esp就是把当前esp的值赋给ebp,这时候我们就可以使用 ebp+偏移 来表示堆栈中的数据,比如参数1就可以表示成[ebp+8],返回地址就可以表示成[ebp+4]..如果我们在拦截的时候要对这些参数和返回地址做任何处理,就可以使用这种方法。如果这个时候函数有局部变量的话,就通过减小ESP的值的方式来为之分配空间。接下来就是保存一些寄存器:EDI,ESI,EBX.要注意的是,函数堆栈是反方向生长的。这时候堆栈的样子: |....| |EDI| <---ESP |ESI| |EBX| |局部变量| |EBP | |返回地址| |参数1| |参数2| |参数3| |参数4| |.. | 在函数返回的时候,由函数自身来进行堆栈的清理,这时候清理的顺序和开始入栈的顺序恰恰相反,类似的汇编代码可能是这样的: pop edi pop esi pop ebx add esp, 4 pop ebp ret 0010 先恢复那些寄存器的值,然后通过增加ESP的值的方式来释放局部变量。这里可以用mov esp, ebp来实现清空所有局部变量和其他一些空闲分配空间。接着函数会恢复EBP的值,利用指令POP EBP来恢复该寄存器的值。接着函数运行ret 0010这个指令。该指令的意思是,函数把控制权交给当前栈顶的地址的指令,同时清理堆栈的16字节的参数。如果函数有返回值的话,那在EAX寄存器中保存着当前函数的返回值。如果是__cdecl调用方式,则执行ret指令,对于堆栈参数的处理交给调用线程去做。如wsprintf函数。 这个时候堆栈又恢复了原来的样子。线程得以继续往下执行... 在拦截api的过程之中一个重要的任务就是保证堆栈的正确性。你要理清每一步堆栈中发生了什么。 四:形成思路 呵呵,不知道你现在脑海是不是有什么想法。怎么去实现拦截一个api? 这里给出一个思路,事实上拦截的方法真的很多,理清了一个,其他的也就容易了。而且上面所说的2个关键知识,也可以以另外的形式来利用。 我以拦截CreateFile这个api为例子来简单说下这个思路吧: 首先,既然我们要拦截这个api就应该知道这个函数在内存中的位置吧,至少需要知道从哪儿入口。CreateFile这个函数是由kernel32.dll这个动态库导出的。我们可以使用下面的方法来获取他映射到内存中的地址: HMODULE hkernel32 = LoadLibrary("Kernel32.dll"); PVOID dwCreateFile = GetProcAddress(hkernei32, "CreateFileA"); 这就可以得到createfile的地址了,注意这里是获取的createfile的ansic版本。对于UNICODE版本的则获取CreateFileW。这时dwCreateFile的值就是他的地址了。对于其他进程中的createfile函数也是这个地址,前面说过windows指定了他提供的所有的dll文件的加载地址。 接下来,我们该想办法实现跳转了。最简单的方法就是修改这个api入口处的代码了。但是我们该修改多少呢?修改的内容为什么呢?前面说过我们可以使用CALL的方式来实现跳转,这种方法的好处是可以为你的拦截函数提供一个或者多个参数。这里只要一个参数就足够了。带参数的函数调用的汇编代码是什么样子呢,前面也已经说了,类似与调用MessageBoxA时的代码: PUSH 参数地址 CALL 函数入口地址(这里为一个偏移地址) 执行这2条指令就能跳转到你要拦截的函数了,但是我们该修改成什么呢。首先,我们需要知道这2条指令的长度和具体的机器代码的值。其中PUSH对应0x68,而CALL指令对应的机器码为0xE8,而后面的则分别对应拦截函数的参数地址和函数的地址。注意第一个是一个直接的地址,而第二个则是一个相对地址。当然你也可以使用0xFF0x15这个CALL指令来进行直接地址的跳转。 下面就是计算这2个地址的值了, 对于参数和函数体的地址,要分情况而定,对于对本进程中api拦截,则直接取地址就可以了。对于参数,可以先定义一个参数变量,然后取变量地址就ok了。 如果是想拦截其他进程中的api,则必须使用其他一些方法,最典型的方法是利用VirtualAllocEx函数来在其他进程中申请和提交内存空间。然后用WriteProcessMemory来分别把函数体和参数分别写入申请和分配的内存空间中去。然后再生成要修改的数据,最后用WriteProcessMemory来修改api入口,把入口的前10字节修改为刚刚生成的跳转数据。比如在远程进程中你写入的参数和函数体的内存地址分别为0x00010000和0x00011000,则生成的跳转数据为 68 00 00 01 00 E8 00 10 01 00(PUSH 00010000 CALL 00011000),这样程序运行createfile函数的时候将会先运行PUSH 00010000 CALL 00011000,这样就达到了跳转的目的。此刻我们应该时刻注意堆栈的状态,对于CreateFile有 HANDLE CreateFile( LPCTSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ); 可以看到其有7个参数,于是在调用之前,堆栈应该已经被压入了这7个参数,堆栈的样子: |....| <---ESP |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 这是执行到我们的跳转语句:PUSH 00010000,于是堆栈又变了: |....| <---ESP |00010000| |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 接着执行CALL 00011000,堆栈变为: |...| <---ESP |api入口之后的第六个字节的指令的地址| |00010000| |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 接下来就到了我们的拦截函数中拉,当然,函数肯定也会做一些类似动作,把EBP压栈,为局部变量分配空间等。这时候堆栈的样子又变了: |EDI| <---ESP |ESI| |EBX| |局部变量| |EBP| dwMessageBox; pfnMessageBox(NULL, PFileName, PFileName, MB_ICONINFORMATION |MB_OK); //输出要打开的文件的路径..... } 对于你要使用的其他函数,都是使用同样的方式,利用这个参数来传递我们要传递的函数的绝对地址,然后定义这个函数指针,就可以使用了。 好了,接下来我们该让被拦截api正常工作了,这个不难,把他原来的数据恢复一下就可以了。那入口的10个字节。我们在改写他们的时候应该保存一下,然后也把他放在参数中传递给拦截函数,呵呵,参数的作用可多了。接着我们就可以用WriteProcessMemory函数来恢复这个api的入口了,代码如下: PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)pRP->dwGetCurrentProcess; PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)pRP->dwWriteProcessMemory; if(!pfnWriteProcessMemory(pfnGetCurrentProcess(), (LPVOID)pfnConnect, (LPCVOID)pRP->szOldCode, 10, NULL)) pfnMessageBox(NULL, pRP->szModuleName1, pRP->szModuleName2, MB_ICONINFORMATION | MB_OK); 其中这些函数指针的定义和上面的类似。 而参数中的szoldcode则是在源程序中在修改api之前保存好,然后传给拦截函数,在源程序中是用ReadProcessMemory函数来获取他的前10个字节的: ReadProcessMemory(GetCurrentProcess(), (LPCVOID)RParam.dwCreateFile, oldcode, 10, &dwPid) strcat((char*)RParam.szOldCode, (char*)oldcode); 接下来如果你还继续保持对该api拦截,则又该用WriteProcessMemory 来修改入口了,跟前面的恢复入口是一样的,只不过把szOldCode换成了szNewCode了而已。这样你又能对CreateFile继续拦截了。 好了,接下来该进行堆栈的清理了,也许你还要做点其他事情,尽管做去。但是清理堆栈是必须要做的,在函数结束的时候,因为在我们放任api恢复执行之后,他又return 到我们的函数中来了,这个时候的堆栈是什么样子呢? |EDI| <---ESP |ESI| |EBX| |局部变量| |EBP| <---EBP |api入口之后的第六个字节的指令的地址| |00010000| |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 我们的目标是把返回值记录下来放到EAX寄存器中去,把返回地址记录下来,同时把堆栈恢复成原来的样子。 首先我们恢复那些寄存器的值,接着释放局部变量,可以用mov esp, ebp.因为我们不清楚具体的局部变量分配了多少空间。所以使用这个方法。 __asm {POP EDI POP ESI POP EBX //恢复那些寄存器 MOV EDX, [NextIpAddr]//把返回地址放到EDX中,因为待会儿 //EBP被恢复后,线程中的所有局部变量就不能正常使用了。 MOV EAX, [RetValue]//返回值放到EAX中,当然也可以修改这个返回值 MOV ESP, EBP//清理局部变量 POP EBP//恢复EBP的值 ADD ESP, 28H //清理参数和返回地址,注意一共(7+1+1+1)*4 PUSH EDX //把返回地址压栈,这样栈中就只有这一个返回地址了,返回之后栈就空了 RET } 这样,一切就完成了,堆栈恢复了应该有的状态,而你想拦截的也拦截到了。 五:后记 拦截的方式多种多样,不过大体的思路却都相同。要时刻注意你要拦截的函数的堆栈状态以及在拦截函数中的对数据的引用和函数的调用(地址问题)。
API HOOK拦截系统窗口
01-10
API HOOK拦截系统窗口,采用APIHOOK技术对系统API函数MessageBox进行拦截,让系统执行自定义的函数内容!
HookApi拦截
10-11
总之,HookApi拦截Windows编程中的高级技巧,它赋予开发者深入控制程序行为的能力,但同时也需要谨慎使用,以免引起不必要的问题。通过学习和实践,你可以掌握这一强大的工具,提升你的编程技能。
VB拦截windows删除文件(API HOOK
05-07
摘要:VB源码,文件操作,删除进程 VB拦截Windows Explorer删除进程,内含API HOOK,源代码:倒霉蛋儿,程序有时候也会窗口勾挂失败!  勾住了SHFileOperation等函数,DLL用Delphi写的C会的太少,查了半天才知道原来...
Windows API拦截教程
02-25
本教程“Windows API拦截教程”可能涵盖了上述技术的详细步骤、示例代码和最佳实践,是学习和掌握API Hook的宝贵资源。通过深入学习,你将能够熟练运用这些技术来解决实际问题,提升你的编程技能。
关于API HOOK拦截封包原理
02-16
Windows环境下,我们可以使用如Microsoft Detours库来实现API Hook。Detours提供了一种高效、灵活的方法来拦截函数调用,它可以在不修改目标函数代码的情况下,实现Hook。一旦Hook成功,我们就可以在数据包发送或...
Windows系统API函数拦截技术研究
07-31
Windows系统API函数拦截技术研究
WINDOWS API拦截技术与实现
10-26
WINDOWS API拦截技术与实现,拦截WINDOW 的消息。钩子实现。
Windows核心编程(二十二)API拦截
woshibendangao的专栏
04-07 1035
一个模块的导入段包含一组DLL。为了让模块能够运行,这些DLL是必须的。导入段还包含一个符号表。它列出了该模块从各DLL中导入的符号。当模块调用这些导入符号的时候,系统实际上会调用转换函数,获得导入函数在导入表的地址,然后再跳到相应的位置。如果我们能将导入段中相应导入函数的地址替换成自定义的函数的地址,即可实现对该函数的拦截。在自定义的函数中,我们既可以调用拦截的函数,也可以执行其他工作。
apicontroller拦截
qq_28480925的博客
03-08 1068
public class ApiPermissionFilter : ActionFilterAttribute     {         #region 属性         ///         /// 数据权限编码         ///         public string Code         { get; set; }         #end
Windows核心编程:DLL注入和API拦截
yuan
04-20 573
Windows核心编程:DLL注入和API拦截      在 Windows中,每个进程有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的地址空间中的一个内存地址。进程不能创建一 个指针来引用属于其它进程的内存。因此,如果进程有一个缺陷会覆盖随机地址处的内存,那么这个缺陷不会影响到其它进程所使用的内存。      独立的地址空间对开发人员和用户都是非常有利的。对开发
Windows Hook 易核心编程(4) API Hook拦截API
ywbhnay的专栏
04-27 1842
在开始之前,让我们先来回顾一下: 什么叫Hook API?       所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控 制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正的系统API前可 以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲H
Windows消息拦截技术的应用
我的win32 api之旅
04-05 4948
Windows消息拦截技术的应用民航合肥空管中心 周毅 一、前 言众所周知,Windows程式的运行是依靠发生的事件来驱动。换句话说,程式不断等待一个消息的发生,然后对这个消息的类型进行判断,再做适当的处理。处理完此次消息后又回到等待状态。从上面对Windows程式运行机制的分析不难发现,消息在用户与程式之间进行交流时起了一种中间“语言”的作用。在程式中接收和处理消息的主角是窗口,
Hook技术之消息拦截Windows Hook
bobopeng
06-02 6699
首先来说说windows 消息Hook,这个消息Hook就是我们常用的通过SetWindowsHookEx来设置一个Hook,这个函数通过将这个Hook插入到Hook链的最前端,而发送给我们已经Hook了的窗口的消息首先会被我们的Hook函数截获,也就是我们优先于窗体捕获到消息。 Windows Message Hook 可以实现全局Hook和局部Hook。局部Hook是在自身进程中创建一个Ho
c++ 代码 inline hook 如何拦截自己进程的api函数
06-12
以下是一个使用 C++ 实现的 inline hook 拦截自己进程的 API 函数的示例代码: ```cpp #include <Windows.h> #include // 原始的 API 函数指针 typedef int(__stdcall* OriginalFunction)(int); // 要拦截API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值