.Net,C#程序的HOOK

已于 2024-04-07 19:43:50 修改
阅读量2.1k 收藏 3
点赞数 2
文章标签: c++ c# c语言
于 2021-01-28 13:48:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vaguem/article/details/113317606
版权

.Net,C#程序的HOOK

最近有个需求,就是要在一个软件里面获取一个编号

20210128113903316.png

 

当时我想这还不是so easy,找到那个框的句柄,发个消息就能拿到,百度一下

https://www.cnblogs.com/lujin49/p/4796502.html

几行代码不就搞定了,哈哈哈~

SPYXX掏出来,好吧,根本没有控件句柄!!!

再后来查壳看了软件,原来是.net写的。。。

CheatEngine一顿搜,还找不到基址。

嘿嘿,.net写的软件不就是源码么,掏出.net大杀器dnSpy,马上找到关键代码

private string xxx(SomeStruct ss)
{
	Config.CyclePressValue = 25;
	Config.TrgCycleTime = (DateTime.Now - this.TrgTime).TotalSeconds;
	.
    .
    .
	GC.Collect();
	GC.WaitForPendingFinalizers();
	return "";
}

SomeStruct那个结构体里面就有要找的那个数字,代码我修改了下,直接贴出来好像不太好。。。

这要是c写的就好办了,.net这种我以前还没搞过,好吧再百度找找有没有人整过这种类型的

欸,有了!!https://blog.csdn.net/xfgryujk/article/details/79053312

不过这只管hook到自己的代码,回不到原来的函数,而且还是clrcall类型的。。。

后来又搜了好多,基本没什么有用的信息,.net的hook资料是真的少~

好吧,那就自己来吧。既然JIT是运行时编译,那编译好的代码看看先吧,继续CE掏出一顿操作,CE还蛮强,.net的类和函数都能看到

watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3ZhZ3VlbQ==,size_16,color_FFFFFF,t_70

找到上面的那个函数名称双击就能看到已经编译好的代码:

watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3ZhZ3VlbQ==,size_16,color_FFFFFF,t_70

这里其实有个坑,等会说。。。

现在思路清晰了,可以直接内存爆搜Opcode,找到JIT后的地址,然后直接hook这个地址

mov rax,我的代码地址

jmp rax

直接写个dll,然后注入就完事了。。。

这里有个问题,VS写64位asm代码不支持__asm{}这种类型了,要么你换intel的编译器,要么你写个.asm文件再asm+c混合编译。

vs里面Cpp文件下,要引用asm中的函数,声明一下

extern "C" void asmcode();

asm文件中要引用cpp的函数,要这样写

extrn RunMyCode : proc

这样可以完美互相引用对方的函数

.asm文件中代码

extrn RunMyCode : proc

.code

asmcode proc
	push rbx
	push rcx
	push rdx
	push rbp
	push rsi
	push rdi
	push r8
	push r9
	push r10
	push r11
	push r12
	push r13
	push r14
	push r15
	pushfq
//上面的代码保存现场,下面是运行hook后我们自己的代码,找到我们需要的那串数字
	push rax
	lea rcx,[rdx+170h]
	call RunMyCode
	pop rax
//恢复现场
	popfq
	pop r15
	pop r14
	pop r13
	pop r12
	pop r11
	pop r10
	pop r9
	pop r8
	pop rdi
	pop rsi
	pop rbp
	pop rdx
	pop rcx
	pop rbx
//这里是被替换掉的原始代码,需要补上
	push rdi
	push rsi
	push rbp
	push rbx
	sub rsp,28h
	mov rsi,rcx
	mov rdi,rdx
//补完后可以跳回原来的函数地址
	mov rax,1234567812345678h
	jmp rax
asmcode endp
end

CPP文件大概代码


#include "pch.h"
#include <vector>

using namespace std;
static BYTE m_Shared[100] = { 0 };

extern "C" void RunMyCode(LPVOID pAddr)
{
	//HANDLE hMap = ::OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, L"MySharedMemory");
	//if (hMap == NULL)
	//{
	//	hMap = ::CreateFileMapping(INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE, 0, 1024, L"MySharedMemory");
	//	LPVOID pBuffer = ::MapViewOfFile(hMap, FILE_MAP_ALL_ACCESS, 0, 0, 0);
	//	ZeroMemory(pBuffer, 0x100);
		memcpy(m_Shared, pAddr, 10);
	//	::UnmapViewOfFile(pBuffer);
	//	::CloseHandle(hMap);
	//}
}

extern "C" void asmcode();

DWORD WINAPI InitHookThread(LPVOID dllMainThread)
{
	WaitForSingleObject(dllMainThread, INFINITE);
	CloseHandle(dllMainThread);
	std::vector<unsigned __int64> ResultArray;
	SearchMemory(GetCurrentProcess(), (char*)"57 56 55 53 48 83 EC 28 48 8B F1 48 8B FA C7 05 ?? ?? ?? ?? 19 00 00 00 E8 ?? ?? ?? ?? 48 8B C8 48 8B 56 50 E8 ?? ?? ?? ?? C4 E1 78 57 C0 C4 E1 FB 2A C0", 0x0, 0x7FFFFFFFFFFF, 10, ResultArray);

	if (ResultArray.size()>0)
	{
		LPVOID paddr = (LPVOID)ResultArray.at(0);
		__int64 dwFunc = GetFunAddress((PUCHAR)asmcode);
		for (PUCHAR pBuf = (PUCHAR)dwFunc; pBuf < ((PUCHAR)dwFunc + 1024); ++pBuf)
		{
			if (*(__int64*)pBuf == 0x1234567812345678)
			{
				__int64 tmp = (__int64)paddr + 0xE;
				DWORD dOldProtect;
				VirtualProtect((LPVOID)dwFunc,0x100, PAGE_EXECUTE_READWRITE, &dOldProtect);
				memcpy(pBuf, &tmp, sizeof(tmp));
				break;
			}
		}
		BYTE jmpcode[] = { 0x48, 0xB8 , 0x78 , 0x56 , 0x34 , 0x12 , 0x78 , 0x56 , 0x34 , 0x12 , 0xFF , 0xE0 };
		memcpy(jmpcode + 2, &dwFunc, 8);
		memcpy(paddr, jmpcode, sizeof(jmpcode));
	}
	while (1)
	{
		Sleep(3000);
	}
	return 0;
}

BOOL APIENTRY DllMain(HMODULE hModule,
	DWORD  ul_reason_for_call,
	LPVOID lpReserved
)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
	{
		//DisableThreadLibraryCalls(hModule);
		HANDLE curThread;
		if (!DuplicateHandle(GetCurrentProcess(), GetCurrentThread(), GetCurrentProcess(), &curThread, SYNCHRONIZE, FALSE, 0))
			return FALSE;
		CloseHandle(CreateThread(NULL, 0, InitHookThread, curThread, 0, NULL));
	}
	break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

hook到那串数字后,本来打算用filemapping映射到内存来和自己的程序通信,后来省事直接在dll整了静态内存,直接读dll的内存好了。

RunMyCode函数带一个参数,所以

lea rcx,[rdx+170h]  ->rcx取到那串数字的偏移地址,作为参数
    call RunMyCode

好,到这里注入后就OK成功了。。。

去现场一试,BOOM!!!其实到了反汇编这里,不BOOM才不正常。。。这就是上面说的坑!

后来调试发现,.net版本不一样,JIT后的OPCode显然会大大的不一样。。。包括结构体的偏移量,全都变~~

其实上面提到的那篇文章也说了,“hook .NET程序的难点在于.NET程序都是JIT临时编译的,函数的地址不确定。我翻了一下MSDN,发现可以用RuntimeMethodHandle的GetFunctionPointer获取编译后的函数地址,于是用C++/CLI调用.NET的反射和GetFunctionPointer就可以实现hook了”,但是整了那个clr问题好多,编译都编译不起来,只能这样了。。。

特此记录下hook .net遇到的坑~

 

 

vaguem
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#中使用Hook
O.Nixie的专栏
01-15 4406
  C#中使用Hook要屏蔽Acrobat Reader软件中的保存功能,我把工具栏隐藏掉,为了避免用户使用快捷键(F8)显示工具栏和(Ctrl+Shift+S)保存文件,我面临了要截取键盘的任务! 由于是使用API,以前HookC++中使用的比较多,我在网上查到原来在C#中一样也能实现截取键盘的Hook,相关程序如下:  public class Browser : Syste
C# easyHook 实例 源码 拿去参考
03-01
在IT领域,尤其是在Windows应用程序开发中,Hook技术是一种常见的用于拦截和处理系统调用或特定API函数的技术。C#中的easyHook库为开发者提供了一种简单易用的方式来实现这一功能。EasyHook是一个开源的.NET钩子库,...
C#键盘钩子(Hook)拦截器的使用
故事不长丨的博客
11-28 2947
钩子过程是一个回调函数,用于处理被拦截的键盘事件。在C#中,可以通过委托来定义钩子过程。
C# Hook 钩子
07-11
C# 的钩子类,可以禁用键盘按键
C++ dll hook 以及C# 调用C++ dll
最新发布
qq_52308245的博客
05-24 174
libMinHook.lib,安装方式Visual Studio 工具栏->工具->NuGet 包管理->管理解决方案->搜索MinHook
钩子攻略
LeoMaya
05-18 2385
一。写在最前 本文的内容只想以最通俗的语言说明钩子的使用方法,具体到钩子的详细介绍可以参照下面的网址:http://www.microsoft.com/china/community/program/originalarticles/techdoc/hook.mspx 二。了解一下钩子 从字面上理解,钩子就是想钩住些东西,在程序里可以利用钩子提前处理些Windows消息
[C#菜鸟]C# Hook
weixin_30616969的博客
09-12 440
转过来的文章,出处已经不知道了,但只这篇步骤比较清晰,就贴出来了。 一。写在最前 本文的内容只想以最通俗的语言说明钩子的使用方法,具体到钩子的详细介绍可以参照下面的网址: http://www.microsoft.com/china/community/program/originalarticles/techdoc/hook.mspx 二。了解一下钩子 从字面上理解,钩子就是...
c#中使用Hook
wzp1986的专栏
09-30 588
http://support.microsoft.com/default.aspx?scid=kb;en-us;318804 using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using System.Drawing;using System.Text;us
C#EasyHook_easyhook_
10-03
2. **CLR钩子**:通过利用.NET Framework的公共语言运行时(CLR),EasyHook可以在.NET应用程序中插入钩子,从而跟踪对象创建、方法执行等事件。 3. **用户模式钩子**:这些钩子在用户空间中运行,可以监视特定进程...
C#实现Hook功能详解
08-31
C#中,实现Hook功能通常涉及到对.NET框架的理解,以及对底层操作系统的交互。 【C#实现Hook】 纯C#实现Hook的关键在于理解.NET Framework的运行时环境,特别是JIT(Just-In-Time)编译器的工作机制。本文提到的...
VB.NET全键盘鼠标Hook附测试
02-20
【VB.NET全键盘鼠标Hook附测试】是一个关于在VB.NET环境下实现全局键盘和鼠标事件捕获的教程。在这个项目中,开发者将学习如何利用钩子技术来监听并处理系统的键盘和鼠标输入事件,这对于开发需要监控用户输入或者...
c#微信hook
09-29
我也是在csdn下载的。已经能运行了,win32位系统vs2013,看看大家有没有一起研究的。调试后只能接收消息,无法获取好友和群以及公众号列表。
C#实现Hook功能
12-22
发布一个自己写的用于Hook .Net方法的类库,代码量不大,完全的C#代码实现,是一个比较有趣的功能,分享出来希望能和大家共同探讨   安装:Install-Package DotNetDetour   源码:https://github.com/bigbaldy1128/DotNetDetour   1.为何想做这个   说到hook大家都应该不陌生,是改变函数的执行流程,让本应该执行的函数跑到另一个函数中执行,这是个很有用也很有趣的功能(例如获取函数参数信息,改变函数执行流程,计算函数执行时间等等),杀软中主防的原理是hook,通过hook拦截函数获取参数信息来判断是否是危险行为
C# 全局勾子(Hook 含鼠标键盘窗口内核等)
01-19
含鼠标键盘窗口内核等,利用C++制作的DLL,用C#写的全局勾子程序,并配有测试代码。
SocketHook:用 C# 编写的 SocketHook
06-18
套接字挂钩 SocketHookC# 编写,仅支持 Windows(32 位应用程序) 如何使用 运行 RegisterCOMObjects.bat(以管理员身份) 运行 HookAPI.exe 参数 p=<process> s=<bind> d=<forward> (bind_address 可以替换为 0.0.0.0,port 可以为空) 示例参数 HookAPI.exe p=program.exe s=0.0.0.0 d=127.0.0.1 HookAPI.exe p=program.exe s=192.168.0.1 d=192.168.0.2 HookAPI.exe p=program.exe s=192.168.0.1:8000 d=192.168.0.2 HookAPI.exe p=program.ex
.NET Hook-开源
05-25
允许在.NET程序集(无论是可执行文件还是程序集)中调用的每个函数的开头插入任意代码。 还提供了读取元数据并在其上转储信息的代码。
C# hook的一个简单例子
小菜蝶 .net DotNet
06-09 1086
效果是:你输入“b”,它肯定还是“a”。。。-_-!!!public partial class Form1 : Form    {        public Form1()        {            InitializeComponent();        }        internal enum HookType //枚举,钩子的类型         {   
Windows核心编程篇——Hook编程(钩子编程)(C#版)
csdn2990的博客
10-12 2670
应用程序有自己的截获方式,那么操作系统呢,也有自己的截获方式,那就是使用钩子技术。(这里以windows系统为例)
.nethook 设计
applechong的专栏
12-09 218
今天,有个同事问我,怎样在C#中使用全局钩子?以前写的全局钩子都是用unmanaged C或C++写个DLL来实现,可大家都知道,C#是基于.Net Framework的,是managed,怎么实现全局钩子呢?于是开始到网上搜索,好不容易找到一篇,318804 - HOW TO: Set a Windows Hook in Visual C# .NET,里面详细的说明了如何使用鼠标钩子捕获鼠标的移...
wpf C#鼠标Hook
05-22
在WPF中,可以使用Win32 API来实现鼠标Hook。以下是一个简单的示例,可以Hook鼠标的左键和右键点击事件: 首先,需要引入以下命名空间: ```csharp using System.Runtime.InteropServices; using System.Windows.Input; ``` 然后定义以下结构体和枚举: ```csharp [StructLayout(LayoutKind.Sequential)] public struct POINT { public int X; public int Y; } public enum MouseMessages { WM_LBUTTONDOWN = 0x0201, WM_LBUTTONUP = 0x0202, WM_RBUTTONDOWN = 0x0204, WM_RBUTTONUP = 0x0205 } ``` 接下来,定义以下方法: ```csharp [DllImport("user32.dll")] [return: MarshalAs(UnmanagedType.Bool)] private static extern bool GetCursorPos(out POINT lpPoint); [DllImport("user32.dll")] private static extern IntPtr SetWindowsHookEx(int idHook, LowLevelMouseProc lpfn, IntPtr hMod, uint dwThreadId); [DllImport("user32.dll")] [return: MarshalAs(UnmanagedType.Bool)] private static extern bool UnhookWindowsHookEx(IntPtr hhk); [DllImport("user32.dll")] private static extern IntPtr CallNextHookEx(IntPtr hhk, int nCode, IntPtr wParam, IntPtr lParam); ``` 最后,定义以下委托和字段: ```csharp private delegate IntPtr LowLevelMouseProc(int nCode, IntPtr wParam, IntPtr lParam); private const int WH_MOUSE_LL = 14; private const int WM_MOUSEMOVE = 0x0200; private static LowLevelMouseProc _proc = HookCallback; private static IntPtr _hookID = IntPtr.Zero; ``` 现在可以实现Hook的回调函数: ```csharp private static IntPtr HookCallback(int nCode, IntPtr wParam, IntPtr lParam) { if (nCode >= 0 && (MouseMessages)wParam == MouseMessages.WM_LBUTTONDOWN) { // 左键点击事件 POINT point; if (GetCursorPos(out point)) { // 获取鼠标位置 var wpfPoint = new Point(point.X, point.Y); var element = Mouse.DirectlyOver as UIElement; if (element != null) { // 触发鼠标左键点击事件 element.RaiseEvent(new MouseButtonEventArgs(Mouse.PrimaryDevice, 0, MouseButton.Left) { RoutedEvent = UIElement.MouseLeftButtonDownEvent, Source = element, OriginalSource = element, ClickCount = 1, Timestamp = 0, MouseButtonState = MouseButtonState.Pressed, StylusDevice = null, GetPosition = p => wpfPoint, }); } } } else if (nCode >= 0 && (MouseMessages)wParam == MouseMessages.WM_RBUTTONDOWN) { // 右键点击事件 POINT point; if (GetCursorPos(out point)) { // 获取鼠标位置 var wpfPoint = new Point(point.X, point.Y); var element = Mouse.DirectlyOver as UIElement; if (element != null) { // 触发鼠标右键点击事件 element.RaiseEvent(new MouseButtonEventArgs(Mouse.PrimaryDevice, 0, MouseButton.Right) { RoutedEvent = UIElement.MouseRightButtonDownEvent, Source = element, OriginalSource = element, ClickCount = 1, Timestamp = 0, MouseButtonState = MouseButtonState.Pressed, StylusDevice = null, GetPosition = p => wpfPoint, }); } } } return CallNextHookEx(_hookID, nCode, wParam, lParam); } ``` 最后,在需要Hook鼠标事件的地方调用以下代码即可: ```csharp _hookID = SetWindowsHookEx(WH_MOUSE_LL, _proc, IntPtr.Zero, 0); ``` 同时,在程序退出时,需要取消Hook: ```csharp UnhookWindowsHookEx(_hookID); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值