通过修改代码挂接API

最新推荐文章于 2022-09-29 19:02:28 发布
最新推荐文章于 2022-09-29 19:02:28 发布
阅读量2.6k 收藏 2
点赞数
文章标签: api 汇编 winapi hook dll null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smfwuxiao/article/details/5375257
版权

如何挂接API

 

想要挂接API,有两种方法:1、修改代码方法 2、修改模块的输入节。

对于第2种方法的详细讲解,请看《Windows核心编程》,Jeffery Ritcher讲得是最好的。不过比较复杂,需要了解 ImageHlp库函数,

MSDN讲解得很少。

 

这里主要探讨第一种API挂接方式。

 

在X86 CPU下,

原理即把API函数的头5个字节修改为一条JMP指令,或者把函数体的第一个字节修改为一条INT指令(这种方法要修改中断向量表,比较复杂)。修改为JMP指令以后,调用API的线程将会执行我们的JMP指令,跳至我们的代码。而我们将原API函数的头5个字节保存到自己的变量中,以便于恢复。通常,把该挂接方式写成一个C++的类,然后用一个类对象对应于一个API的挂接。

 

下面给出这个类,通过阅读源代码和注释,你可以很清楚的看到这种挂接的原理:

///

FileName  ApiHook.h

Description:  Hook a Api Function

//

 

class CApiHook
{
private:

         BYTE  m_byteOldCode[5];//原API函数的头5个字节

         BYTE  m_byteNewCode[5];//jmp指令
         DWORD m_dwOldFunAddr; //原API函数地址(理解为函数体第一个字节的地址)

public:
         BOOL  m_bHookIsOK;//该API是否已被挂接
         DWORD m_dwOldProtect;//原API函数所在页面的保护属性

public:
        CApiHook()
       {
        }
        virtual ~CApiHook()
        {
                if(m_bHookIsOK)  HookSwitch(FALSE);
        }

public:
         //挂接API
         BOOL SetApiHook(LPCTSTR strDllName,LPCTSTR strFunName,DWORD lpFunAddr);
         BOOL HookSwitch(BOOL fHook);

};

 

// strDllName为DLL文件名 strFunName为API函数名,lpFunAddr是自己函数的地址
// (该strFunName指定的函数应当位于strDllName指定的DLL文件中)
BOOL CApiHook::SetApiHook(LPCTSTR strDllName,LPCTSTR strFunName,DWORD lpFunAddr)
{
         HMODULE hModule = NULL;
         DWORD dwJmpAddr = 0;

        //判断是否已经挂接
        if(m_bHookIsOK==TRUE)        return FALSE;

        //获得该DLL模块的句柄
        hModule = GetModuleHandle(strDllName);
        if (hModule==NULL)          return FALSE;

        //获取API函数的地址
        m_dwOldFunAddr=(DWORD)GetProcAddress(hModule,strFunName);
        if (m_dwOldFunAddr==NULL) return FALSE;

        //保存旧指令
        CopyMemory(m_byteOldCode,(LPCVOID)m_dwOldFunAddr,sizeof(m_byteOldCode));

        //将自己的函数体的第一个字节设置为 0xE9
        m_byteNewCode[0]=0xE9;

        // 拷贝到函数体的第2-10个字节中(一个地址4字节)
        // 计算jmp指令的偏移地址: offset = userfun-sysfun- 5
        dwJmpAddr = lpFunAddr - (m_dwOldFunAddr + sizeof(m_byteOldCode));
        CopyMemory(&m_byteNewCode[1],&dwJmpAddr,sizeof(dwJmpAddr));

        HookSwitch(TRUE);
        return TRUE;
}

 

//参数为TURE则修改原DLL函数,为FALSE则将函数改回来
BOOL CApiHook::HookSwitch(BOOL fHook)
{
        BOOL bOk = FALSE;
        DWORD dwProtect;
        //已经挂钩
        if (m_bHookIsOK && fHook) 
        return FALSE;

        //开始挂接API
        if (fHook==TRUE)
        {
                VirtualProtect((LPVOID)m_dwOldFunAddr,sizeof(m_byteOldCode),
                PAGE_EXECUTE_READWRITE,&m_dwOldProtect);

                CopyMemory((void *)m_dwOldFunAddr,m_byteNewCode,sizeof(m_byteNewCode));
                m_bHookIsOK = TRUE;
        }
        else
        {
                CopyMemory((void *)m_dwOldFunAddr,m_byteOldCode,sizeof(m_byteOldCode));
                VirtualProtect((LPVOID)m_dwOldFunAddr,sizeof(m_byteOldCode),m_dwOldProtect,&dwProtect);
                m_bHookIsOK = FALSE;
         }
        return TRUE;
}

 

// end of file

///

 

有了这个类,以后挂接API就很方便了。把上面内容放入一个头文件中,例如ApiHook.h,

然后需要使用的时候就写下面两行代码,就完成了挂接:

 

CApiHook g_ApiHook1;

g_ApiHook1.SetApiHook("user32.dll", "MessageBoxW", hook_messagebox);

 

停止挂接就调用

 

g_ApiHook1.HookSwitch(FALSE);

 

不过,只讲到这里可能无法满足你的需要。我们挂接API,往往要在我们自己的挂接函数中调用原API函数,以保证目标程序的正常运行。

因此,我们可以这样写挂接函数:

 

int hook_messagebox(HWND hWnd,  LPCWSTR lpText,LPCWSTR lpCaption, UINT uType)

{

        int nRet=0;

 

        //.code

 

        g_ApiHook1.HookSwitch(FALSE);

 

        nRet = MessageBoxW(hWnd, lpText, lpCaption, uType);

 

        g_ApiHook1.HookSwitch(TRUE);

        return nRet;

}

 

你可能以为这样就OK了,但是,当你调试一下你的程序就会发现,一旦目标程序调用了你的挂接函数,

很快就会弹出一个错误提示,说ESP寄存器不正确,然后进程立即终止。

 

我在第一次学习该方式挂接API时,被这个问题困扰过。从C代码来看几乎找不到错误。为什么呢?

原因在于我们修改了API函数的代码,破坏了函数的正常运行,使得堆栈不能正确平衡。虽然我们调用了HookSwitch(TRUE)把那5个字节替换了回去,但是此时的堆栈已经与直接调用该API的堆栈不同了,为了把这个问题弄明白我们需要首先复习一下汇编语言知识:

 

SP, BP, SI, DI 这4个寄存器(80386以后扩展成了 ESP, EBP, ESI, EDI)

既可以用作通用寄存器,又可以存储特定段的偏移地址。

 

SP 堆栈指针 存放堆栈的偏移地址(SS存放堆栈的段地址)

BP 基址指针 在间接寻址中,用于存放段内偏移的一部分或全部(此时段地址存放于 SS)

 

SI 源变址寄存器 在间接寻址中,用于存放段内偏移的一部分或全部

                        在字符串操作中,存放源操作数的段内偏移地址

                        可存放一般数据

 

DI 目标变址寄存器 在间接寻址中,用于存放段内偏移的一部分或全部

                        在字符串操作中,存放目的操作数的段内偏移地址

                        也可存放一般数据

 

压栈/出栈操作:

汇编中,栈是先使用高地址,后使用低地址。压栈导致SP减少一个机器字,出栈增加一个机器字。

push 指令是压栈 ESP=ESP-4
pop   指令是出栈 ESP=ESP+4

 

调用子程序指令

call tag1  这条指令也会执行压栈操作,把该call指令的下一条指令的地址压入栈中。

 

WINAPI调用方式的特点是,参数从右往左依次进栈,被调用的函数负责清栈。

在C代码被编译为汇编指令后,调用函数的代码实际上是变为以下形式:

C代码:  MessageBoxW(1,2,3,4);

汇编:    push 4;

             push 3;

             push 2;

             push 1;

             call taget;

一个函数在执行完成以后,通过汇编指令:             retn 16; (4个参数,每个参数4字节)

清栈并且返回(就是我们在C中看到的 return(x))。

 

当原API调用时,编译产生的汇编指令已经把API的参数按从右到左的顺序压入了栈中(这里以MessageBoxW为例),此时ESP寄存器减少16,即ESP = ESP - 16。 然后,就是调用子程序的指令 call xxx。 call 指令会把目标函数地址也压入堆栈,此时ESP = ESP - 4。

因此ESP一共移动了20个字节。然后,就调用了我们的JMP指令跳转到我们的函数中,此时,我们的函数其实就直接使用这些已经压入栈的参数了,当我们把5个字节改回去再用C/C++代码调用MessageBoxW时,又会产生那些压栈的代码。但是,我们函数中的参数hWnd, lpCaption, lpText, uType其实是利用 [ESP+偏移](ESP的内容实现拷入EBP,EBP又一次进栈) 来访问的,后面又压入了函数地址和EBP,如果我们仍按照 nRet = MessageBoxW(hWnd, lpText, lpCaption, uType) 写代码会把 EBP + 偏移 压入堆栈,导致真正的API访问堆栈时读取错误的参数。

因此,我们需要修改我们的挂接函数如下:

 

int WINAPI hook_messagebox(hWnd, lpText, lpCaption, uType)

{

        int nRet=0;

 

        //.code

 

        g_ApiHook1.HookSwitch(FALSE);

 

        nRet = MessageBoxW(hWnd, lpText, lpCaption, uType);

 

        g_ApiHook1.HookSwitch(TRUE);

        return nRet;

}

 

其实就是使我们的挂接函数与原API函数的调用约定一致。

汗,研究了半天,原来是因为少了个WINAPI修饰符。。。。。。

我的感想就是,不要自己修改ESP寄存器,很难把值弄正确。

 

 

E-mail: smfwuxiao@qq.com

眨巴眨巴
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从mknod看设备驱动操作函数挂接
zhuguanghong的博客
03-02 245
首先从mknod系统调用看起 看mknod命令调用的系统调用 执行的命令:mknod /dev/test_char c 128 11 可以使用工具看到核心调用如下 mknod("/dev/test_char", S_IFCHR|0666, makedev(128, 11)) = 0 mknod对应的内核函数为sys_mknod sys_mknod vfs_mknod error = dir->i_op->mknod(dir, dentry, mode, dev); 上
ARCGIS:结合excel的VLOOKUP函数+挂接excel表到ARCGIS!
小陈学GIS
04-16 4071
本人还是GIS菜鸟,在此记录自己的学习历程,以实际应用成功、解决实际问题为目标,如有错误,欢迎指正! ———————————————————————————————— 1:为什么要用到vlookup? 大家都知道,在ARCGIS中进行分析的时候,如计算一个区内包含了森林公园的县。通过intersect工具,得到了其中只包含森林工园的县。这时候如果你需要做一张整表(即包含了每个县的表)。 因此,就需...
API Hooking (LoadLibrary)
Angelo Lee's Blog
11-25 767
API Hooking (LoadLibrary) Introduction If Windows is made to protect against API hooking, Trojan horses would not have effected our systems. I believe it is a loop hole from Microsoft. But f
EXCEL函数使用——vlookup()
qq_35978482的博客
05-18 1064
----------- 最近一直在做“表姐”,以此系列记录自己从懵懂小白到逐渐掌握excel函数的过程~ ----------- 在知道vlookup函数前我知道的能将表格数据挂接到另一表格的就只有arcgis中的挂接功能,知道vlookup函数后极大的方便了我数据的分析和汇总。这函数最大的特点是只要这两表格某记录有唯一对应的值,就能将一表格的数据挂接到另一表格中去,方便、快捷。 vlookup(lookup_value,table_array,col_index_num,range_lookup) vlo
9.3 挂钩API技术(HOOK API
qq_36314864的博客
09-29 2738
9.3 挂钩API技术(HOOK API
通过消息hookdll注入到别的进程,再通过 该进程的IAT 挂接api
07-20
在IT领域,尤其是在系统编程和逆向工程中,"通过消息hookdll注入到别的进程,再通过该进程的IAT挂接API"是一种常见的技术手段。这一过程涉及到多个核心概念,包括动态链接库(DLL)、钩子(Hook)、进程注入以及...
API挂接 跨进程API挂接实现
04-14
在提供的`HookFile1`中,可能包含了一个示例项目,演示了如何挂接API。这个Demo可能包括以下部分: - 创建一个简单的钩子处理函数,比如监测`CreateWindowEx` API的调用。 - 实现DLL模块,其中包含了钩子处理函数的...
tzmt4api.rar_API_mt4_mt4api_mt4api接口_tzmt4api
07-14
"通过此api链接mt4客户端级服务器"表示该API可以作为桥梁,使得外部应用程序能够连接到MT4的客户端或服务器端,执行交易操作,获取账户信息,甚至是进行策略回测等。 标签“api mt4 mt4api mt4api接口 tzmt4api”...
易语言源码挂接外部IE窗口.rar
03-30
易语言是一种专为中国人设计的编程语言,它以简体中文作为编程语句,降低了编程的门槛,使得更多非计算机专业的人...通过实际操作和修改代码,你可以更好地理解和掌握挂接外部IE窗口的技术,并将其应用到自己的项目中。
挂接API
天道酬勤
04-27 1275
<br />// hook.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> PVOID HookAPI(LPBYTE pbModule,PCSTR pszName,PVOID pvOrg,PVOID pvNew) { PIMAGE_THUNK_DATA r; PIMAGE_NT_HEADERS p; PIMAGE_IMPORT_D
如何挂接API
石头记
06-21 1750
   在调用Java的打印时,发现调用Java提供的纸张调整功能有问题(需要实现连续走纸的动态微调,在打印过程中,动态改变纸张高度,来消除走纸误差)。对于该应用,我是在Windows上用MFC做过相应程序的,没有任何问题。网上也有很多介绍,应该说Windows的打印是进行了很好支持的。但为啥Java的实现会有问题呢?      看过Java的相关代码后找到原因:发现它在纸张调整时,做了额外的根
WINAPI HOOK修改前五个字节,JMP跳转法)
03-18 4365
本文一介绍用修改API头五个字节的方法在Win2k下的使用。利用Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为: BOOL VirtualProtectEx( HANDLE hProcess, // 要修改内存的进程句柄 LPVO
mount 函数挂载的几点说明
移动开发记录
11-14 606
当我们在Linux系统的板子上挂载U盘时,会出现,原本在windows上显示正常的文件名,在Linux下全部显示为问号?. 如果需要显示出中文,需要使用uft8模式挂载U盘。 解决中文字符显示问号的方法: mount /dev/sdb4 /mnt/ho1 -o iocharset=utf8 然而,在程序中,使用mount函数来这样挂载,却出现了问题。 首先,我们看看mount函数的...
挂接异常处理函数,
qwlong007的专栏
02-26 781
http://www.cppblog.com/woaidongmao/archive/2009/10/21/99132.html 前言:通过drwtsn32、NTSD、CDB等调试工具生成Dump文件, drwtsn32存在的缺点虽然NTSD、CDB可以完全解决,但并不是所有的操作系统中都安装了NTSD、CDB等调试工具。了解了mini dump文件格式后,完全可以程序自动生成Dum
API挂接
cleverd
04-21 2570
  在阅读这篇文章之前,你可能要先阅读http://www.codeproject.com/system/inject2exe.asp#PortableExecutablefileformat2和http://blog.csdn.net/XXKKFF/archive/2007/03/06/1522632.aspx下面这段代码是一个动态链接库的源码,它用于挂接MessageBoxW的调用
api接口具体编写代码
最新发布
06-12
具体的 API 接口代码编写可能因后端语言和框架而异,下面以 Node.js 和 Express 框架为例,给出一个简单的 API 接口示例: ```javascript const express = require('express'); const app = express(); // GET 请求示例 app.get('/api/user/:id', (req, res) => { const id = req.params.id; const user = { id: id, name: 'Tom' }; res.json(user); }); // POST 请求示例 app.post('/api/user', (req, res) => { const user = req.body; // 将用户信息保存到数据库 res.json({ status: 'success' }); }); app.listen(3000, () => { console.log('Server started on port 3000'); }); ``` 上述代码中,我们使用了 Express 框架来编写 API 接口。其中,GET 请求示例中,我们通过 req.params 获取了路由参数 id,并返回了一个 JSON 格式的用户信息。而 POST 请求示例中,我们通过 req.body 获取了客户端提交的用户信息,并将其保存到数据库中。 需要注意的是,上述示例中并没有对 API 接口的参数进行验证和过滤,也没有对接口返回值进行统一封装,这些都是编写 API 接口时需要注意的问题。此外,为了保证 API 接口的安全性和稳定性,我们还需要对其进行一些配置,例如限制请求速率、启用 HTTPS 协议等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值