Windows API Hook

最新推荐文章于 2022-08-29 12:17:32 发布
最新推荐文章于 2022-08-29 12:17:32 发布
阅读量102 收藏
点赞数
原文链接:http://www.cnblogs.com/wzjhoutai/p/7015874.html
版权

原文地址:http://blog.sina.com.cn/s/blog_628821950100xmuc.html

原文对我的帮助极大,正是由于看了原文。我才学会了HOOK。鉴于原文的排版不是非常好,

又没有原project样例源代码下载,因此我决定对其又一次整理,文章后面附有我測试时的project源代码下载地址。

注:我測试的环境为Win7+VS2008+MFC

原文出处,好像是这篇:http://blog.csdn.net/glliuxueke/article/details/2702608      //后来才看到的

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

前言
       本文主要介绍了怎样实现替换Windows上的API函数,实现Windows API Hook

(当然。对于socket的Hook仅仅是当中的一种特例)。这样的Hook API技术被广泛的採用在一些领域中,

如屏幕取词,个人防火墙等。这样的API Hook技术并非非常新,可是涉及的领域比較宽广,

要想做好有一定的技术难度。本文是採集了不少达人的曾经资料并结合自己的实验得出的心得体会,

在这里进行总结发表,希望可以给广大的读者提供參考。达到抛砖引玉的结果。


-------------------------------------------------------------------------------------------------------------------------------------------------------------

问题
       近期和同学讨论怎样构建一个Windows上的简单的个人防火墙。后来讨论涉及到了怎样让进程关联套接字port,

替换windows API,屏幕取词等技术。当中基本的问题有:

1) 採用何种机制来截获socket的调用?

一般来说。实现截获socket的方法有非常多非常多,最主要的。能够写驱动,驱动也有非常多种,TDI驱动, NDIS驱动,Mini port驱动…

因为我使用的是Win2000系统。所以截获socket也能够用Windows SPI来进行。

第二种就是Windows API Hook技术。

因为我没什么硬件基础,不会写驱动,所以第一种方法没有考虑。而用SPI相对照较简单。

可是后来认为Windows API Hook适应面更广,并且认为自己动手能学到不少东西,

就决定用Windows API Hook来尝试做socket Hook.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2) API Hook的实现方法?

       实际上就是对系统函数的替换,当然实现替换的方法大概不下5,6种吧,能够參考《Windows核心编程》第22章。

只是我使用的方法与其不近同样。应该相对照较简单易懂。


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
原理

       我们知道,系统函数都是以DLL封装起来的,应用程序应用到系统函数时,应首先把该DLL载入到当前的进程空间中,

调用的系统函数的入口地址,能够通过 GetProcAddress函数进行获取。

当系统函数进行调用的时候,

首先把所必要的信息保存下来(包含參数和返回地址。等一些别的信息)。然后就跳转到函数的入口地址。继续运行。

事实上函数地址。就是系统函数“可运行代码”的開始地址。那么怎么才干让函数首先运行我们的函数呢?

呵呵。应该明确了吧,把開始的那段可运行代码替换为我们自己定制的一小段可运行代码,这样系统函数调用时,

不就按我们的意图乖乖行事了吗?事实上,就这么简单。Very very简单。

:P

       实际的说。就能够改动系统函数入口的地方,让他调转到我们的函数的入口点即可了。

採用汇编代码就能简单的实现Jmp XXXX, 当中XXXX就是要跳转的相对地址。

我们的做法是:把系统函数的入口地方的内容替换为一条Jmp指令。目的就是跳到我们的函数进行运行。

而Jmp后面要求的是相对偏移,也就是我们的函数入口地址到系统函数入口地址之间的差异。再减去我们这条指令的大小。

用公式表达例如以下:(1)int nDelta = UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);(2)Jmp nDleta;

为了保持原程序的健壮性,我们的函数里做完必要的处理后,要回调原来的系统函数。然后返回。

所以调用原来系统函数之前必须先把原来改动的系统函数入口地方给恢复,否则,

系统函数地方被我们改成了Jmp XXXX就会又跳到我们的函数里。死循环了。


--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
那么说一下程序运行的过程。
       我们的dll“注射”入被hook的进程 -> 保存系统函数入口处的代码 -> 替换掉进程中的系统函数入口指向我们的函数 -> 当系统函数被

调用,马上跳转到我们的函数 -> 我们函数进行处理 -> 恢复系统函数入口的代码 -> 调用原来的系统函数 -> 再改动系统函数入口指向

我们的函数(为了下次hook)-> 返回。于是。一次完整的Hook就完毕了。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
        好,这个问题明确以后,讲一下下个问题。就是怎样进行dll“注射”?即将我们的dll注射到要Hook的进程中去呢?

非常easy哦,这里我们採用调用Windows提供给我们的一些现成的Hook来进行注射。

举个样例,鼠标钩子。

键盘钩子大家都知道吧?我们能够给系统装一个鼠标钩子,然后全部响应到鼠标事件的进程。

就会“自己主动”(事实上是系统处理了)加载我们的dll然后设置对应的钩子函数。事实上我们的目的仅仅是须要让被注射进程

加载我们的dll就能够了,我们能够再dll实例化的时候进行函数注射的,我们的这个鼠标钩子什么都不干的。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

简单的样例OneAddOne

      讲了上面的原理。如今我们应该实战一下了。

先不要考虑windows系统那些繁杂的函数,

我们自己编写一个API函数来进行Hook与被Hook的练习吧。哈哈。

第一步。首先编写一个Add.dll。非常easy,这个dll仅仅输出一个API函数,就是add啦。
新建一个win32 dllproject,


dllmain.cpp的内容:

//千万别忘记声明WINAPI,否则调用的时候回产生声明错误哦!

int WINAPI add(int a,int b) { return a+b; } BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { return TRUE; }

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

然后别忘了在add.def里面输出函数add:
LIBRARY  Add
DESCRIPTION "ADD LA"
EXPORTS
 add  @1;


建完project后。你会发现没有Add.def文件,这时我们自己新建一个Add.def文件。然后加入到project中就可以,

加入Add.def文件到project后,我们还须要设置project的属性,将Add.def加入到【项目】-->【Add属性】-->

【链接器】-->【输入】-->【模块定义文件】。例如以下图所看到的,不这样设置的话,我们加入的Add.def文件是

不起作用的哦。


设置好后,编译,ok,我们获得了Add.dll

-----------------------------------------------------------------------------------------------------------------------------------------------------

得到Add.dll后。我们能够用一个小工具【dll函数查看器】来打开我们的Add.dll文件,假设函数导出成功的话,我们就能够

在里面看到导出的函数名字了,例如以下图所看到的:


该工具下载地址:http://download.csdn.net/detail/friendan/6347455       //dll函数查看器

----------------------------------------------------------------------------------------------------------------------------------------------------------

有了dll文件后。接下来我们新建一个MFC对话框程序来调用该dll中导出的函数add,

程序界面即执行效果截图例如以下:


主要代码例如以下:

//调用dll函数 add(int a,int b)
void CCallAddDlg::OnBnClickedBtnCallAdd()
{
	HINSTANCE hAddDll=NULL;
	typedef int (WINAPI*AddProc)(int a,int b);//函数原型定义
	AddProc add;
	if (hAddDll==NULL)
	{
		hAddDll=::LoadLibrary(_T("Add.dll"));//载入dll
	}
	add=(AddProc)::GetProcAddress(hAddDll,"add");//获取函数add地址

	int a=1;
	int b=2;
	int c=add(a,b);//调用函数
	CString tem;
	tem.Format(_T("%d+%d=%d"),a,b,c);
	AfxMessageBox(tem);
}

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

接下来我们进行HOOK,即HOOK我们的Add.dll文件里的函数int add(int a,int b)

新建一个MFC的 dllproject。project名为Hook。然后我们在Hook.cpp文件中面编写代码例如以下:

首先在头部声明例如以下变量:

//变量定义
//不同Instance共享的该变量
#pragma data_seg("SHARED")
static HHOOK  hhk=NULL; //鼠标钩子句柄
static HINSTANCE hinst=NULL; //本dll的实例句柄 (hook.dll)
#pragma data_seg()
#pragma comment(linker, "/section:SHARED,rws")
//以上的变量共享哦!

CString temp; //用于显示错误的暂时变量
bool bHook=false; //是否Hook了函数
bool m_bInjected=false; //是否对API进行了Hook
BYTE OldCode[5]; //老的系统API入口代码
BYTE NewCode[5]; //要跳转的API代码 (jmp xxxx)
typedef int (WINAPI*AddProc)(int a,int b);//add.dll中的add函数定义
AddProc add; //add.dll中的add函数
HANDLE hProcess=NULL; //所处进程的句柄
FARPROC pfadd;  //指向add函数的远指针
DWORD dwPid;  //所处进程ID
//end of 变量定义
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写鼠标钩子安装、卸载和处理函数:

//鼠标钩子过程,什么也不做,目的是注入dll到程序中
LRESULT CALLBACK MouseProc(int nCode,WPARAM wParam,LPARAM lParam)
{
	return CallNextHookEx(hhk,nCode,wParam,lParam);
}

//鼠标钩子安装函数:
BOOL InstallHook()
{

	hhk=::SetWindowsHookEx(WH_MOUSE,MouseProc,hinst,0);

    return true;
}

//卸载鼠标钩子函数
void UninstallHook()
{
	::UnhookWindowsHookEx(hhk);
}

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

在dll实例化函数InitInstance()中,初始化变量和进行注入:

//在dll实例化中获得一些參数
BOOL CHookApp::InitInstance()
{
	CWinApp::InitInstance();

	//获得dll 实例,进程句柄
	hinst=::AfxGetInstanceHandle();
	DWORD dwPid=::GetCurrentProcessId();
	hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid); 
	//调用注射函数
	Inject();
	return TRUE;
}

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写注射函数。即HOOK函数Inject()了:

//好,最重要的HOOK函数:
void Inject()
{

	if (m_bInjected==false)
	{ //保证仅仅调用1次
		m_bInjected=true;

		//获取add.dll中的add()函数
		HMODULE hmod=::LoadLibrary(_T("Add.dll"));
		add=(AddProc)::GetProcAddress(hmod,"add");
		pfadd=(FARPROC)add;

		if (pfadd==NULL)
		{
			AfxMessageBox(L"cannot locate add()");
		}

		// 将add()中的入口代码保存入OldCode[]
		_asm 
		{ 
			lea edi,OldCode 
				mov esi,pfadd 
				cld 
				movsd 
				movsb 
		}

		NewCode[0]=0xe9;//实际上0xe9就相当于jmp指令
		//获取Myadd()的相对地址
		_asm 
		{ 
			lea eax,Myadd
				mov ebx,pfadd 
				sub eax,ebx 
				sub eax,5 
				mov dword ptr [NewCode+1],eax 
		} 
		//填充完成,如今NewCode[]里的指令相当于Jmp Myadd
		HookOn(); //能够开启钩子了
	}
}

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写HOOK开启和停止函数HookOn()和HookOff()

//开启钩子的函数
void HookOn() 
{ 
	ASSERT(hProcess!=NULL);

	DWORD dwTemp=0;
	DWORD dwOldProtect;

	//将内存保护模式改为可写,老模式保存入dwOldProtect
	VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect); 
	//将所属进程中add()的前5个字节改为Jmp Myadd 
	WriteProcessMemory(hProcess,pfadd,NewCode,5,0);
	//将内存保护模式改回为dwOldProtect
	VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp);

	bHook=true; 
}
//关闭钩子的函数
void HookOff()//将所属进程中add()的入口代码恢复
{ 
	ASSERT(hProcess!=NULL);

	DWORD dwTemp=0;
	DWORD dwOldProtect;

	VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect); 
	WriteProcessMemory(hProcess,pfadd,OldCode,5,0); 
	VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp); 
	bHook=false; 
}

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

编写我们自己的Myadd函数()

//然后,写我们自己的Myadd()函数
int WINAPI Myadd(int a,int b)
{
	//截获了对add()的调用。我们给a,b都加1
	a=a+1;
	b=b+1;

	HookOff();//关掉Myadd()钩子防止死循环

	int ret;
	ret=add(a,b);

	HookOn();//开启Myadd()钩子

	return ret;
}
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

然后别忘记在hook.def里面导出我们的两个函数 :

InstallHook  
UninstallHook 


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

接下来就能够进行HOOK的測试了,给前面的对话框程序,再加入两个button。一个用于安装钩子,还有一个用于卸载钩子,

程序和执行效果截图例如以下:


//未HOOK之前


//HOOK之后


-------------------------------------------------------------------------------------------------------------------------------------------------------------------

安装钩子和卸载钩子主要代码例如以下:

HINSTANCE hinst=NULL;
//安装鼠标钩子,进行HOOK
void CCallAddDlg::OnBnClickedBtnStartHook()
{
	typedef BOOL (CALLBACK *inshook)(); //函数原型定义
	inshook insthook;
	
	hinst=LoadLibrary(_T("Hook.dll"));//载入dll文件
	if(hinst==NULL)
	{
		AfxMessageBox(_T("no Hook.dll!"));
		return;
	}
	insthook=::GetProcAddress(hinst,"InstallHook");//获取函数地址
	if(insthook==NULL)
	{
		AfxMessageBox(_T("func not found!"));
		return;
	}
	insthook();//開始HOOK
}

//卸载鼠标钩子,停止HOOK
void CCallAddDlg::OnBnClickedBtnStopHook()
{
	if (hinst==NULL)
	{
		return;
	}
	typedef BOOL (CALLBACK *UnhookProc)(); //函数原型定义
	UnhookProc UninstallHook;

	UninstallHook=::GetProcAddress(hinst,"UninstallHook");//获取函数地址
	if(UninstallHook!=NULL) 
	{
		UninstallHook();
	}
	if (hinst!=NULL)
	{
		::FreeLibrary(hinst);
	}
}

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

以上就是之前我看的那篇文章的主要内容了,关于HOOK系统API,我会在其他的文章里面进行说明。

这里再说一下原文的缺点,我觉得其有两个缺点:

1.停止HOOK时,没有恢复被HOOK函数的入口。

2.没有处理dll退出事件,没有在dll退出事件中恢复被HOOK函数入口。

以上两个缺点。非常easy导致程序的崩溃,因此在我的样例程序中,都对它们进行了处理:

//卸载鼠标钩子函数
void UninstallHook()
{
	if (hhk!=NULL)
	{
		::UnhookWindowsHookEx(hhk);
	}
	HookOff();//记得恢复原函数入口
}

//dll退出时
int CHookApp::ExitInstance()
{
	HookOff();//记得恢复原函数入口
	return CWinApp::ExitInstance();
}

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

以上我这个样例project的下载地址:hook dll文件里的函数add.zip

http://download.csdn.net/detail/friendan/6348209

友情提示:我在Debug模式执行程序时,HOOK会失败,在Release模式执行程序则HOOK成功。

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

转载于:https://www.cnblogs.com/wzjhoutai/p/7015874.html

weixin_30263277
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOOK Windows API
flowwaterdog的博客
04-26 518
HOOK Windows API 只能HOOK 本地的API,适用于入门学习 HOOK API的一般步骤: 1.定义假API函数 假API函数,除了函数名称和真API不一样之外,其它的都要跟真API的定义相同,如参数类型和返回值、调用形式等。 int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType...
『网络安全科普』Windows安全之HOOK技术机制_windows hook技术
最新发布
ewii12567的博客
04-19 1175
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
WindowsHook API技术
08-20 2214
WindowsHook API技术     什么叫Hook API?所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统
Windows API HOOK
Utopia的专栏
07-30 971
HOOK技术是当前用于Windows API拦截的主要技术,许多应用程序的功能都以HOOK技术为基础核心技术进行扩展实现。 以屏幕取词为例,通过安装鼠标钩子,拦截TextOut()、ExtTextOut()等函数,当应用程序收到WM_PAINT消息后,正常系统函数被拦截,跳转至钩子函数完成取词翻译等工作。 Intel的CPU制定Ring0、Ring1、Ring2、Ring3四个特权级别,Window
windows api hook
reaL's Blog
04-26 1011
windows api hook
Windows API Hook钩子大揭密.zip
03-28
Windows操作系统中,API Hook是一种强大的技术,它允许开发者拦截并修改系统调用的过程,从而实现对应用程序行为的监控、调试或控制。"Windows API Hook钩子大揭密"这个主题深入探讨了这一核心技术,通过APISpion....
windows apihook示例代码
07-03
Windows API Hook是一种技术,用于拦截和修改特定API(应用程序接口)调用的行为。在Windows操作系统中,API Hook常被用于调试、监控、日志记录、性能优化或恶意软件中,以便在其他进程调用特定API时执行自定义逻辑...
鼠标键盘全局钩子以及windows api hook代码
07-22
本主题将深入探讨鼠标键盘全局钩子和Windows API Hook的实现,以及如何使用VS2013进行相关开发。 首先,我们需要了解Windows API Hook的基本原理。API Hook是通过替换或插入函数调用来监控或修改特定API的调用行为...
Windows API HOOK通用框架的实现论文
02-18
Windows操作系统中,API Hook是一种强大的技术,它允许开发者在其他应用程序调用特定API函数之前或之后插入自定义的行为。这篇论文主要探讨了如何构建一个通用的Windows API Hook框架,以实现对API调用的拦截和...
ApiHook.rar_APIHOOK
09-14
APIHOOK相关的知识主要涉及到Windows API Hook技术,这是一种在软件开发中用于拦截系统调用或库函数的技术,通常用于调试、监控、注入代码或者修改程序行为。API Hook允许开发者在目标函数被调用前后插入自定义代码...
Hook Windows API
03-14
修改API函数前5个字节为一条jmp指令,跳转到自己写的Hook_api,实现hook系统api函数
hook Windows系统API
11-19
Windows系统API,包括RegCreateKeyEx、RegSetValueEx、RegDeleteKey、RegDeleteValue、CreateFile等进行hook,并将相关信息记录下来,适宜初学者学习使用。
Windows Hook Api
是我
12-14 373
今天在写Hook ws2_32 的函数send的时候,发现总是让程序崩溃, 崩溃的时候程序的崩溃点总是在ws2_32的模块中,最后发现在调用Hook函数时候,我进行了还原, 还原的保护代码是PAGE_READWRITE,这样子导致其他线程在执行对应的地址代码产生了一个执行错误的代码! 哎,太久没有使用逆向了,导致就生疏了! 具体原因是: VirtualProtect ( pOld
WindowsAPI Hook 技术
weixin_30298497的博客
01-16 305
1 前言 在Micrisoft Windows中, 每个进程都有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的自制空间的一个内存地址。进程不能创建一个指针来引用属于其他进程的内存。 独立的地址控件对开发人员和用户来说都是非常有利的。对开发人员来说,系统更有可能捕获错误的内存读\写。对用户而言, 操作系统变得更加健...
Windows API hooking.简单的C++例子
Meta.Qing的博客
08-29 545
API hook是一种技术,通过它我们可以测量和修改API调用的行为和流。许多反病毒解决方案也使用这种技术来检测代码是否为恶意代码。示例1在挂接windows API函数之前,我将考虑如何从DLL中导出函数。正如你所看到的,这个DLL有最简单的导出函数:Cat, Mouse, Frog, Bird和一个参数。正如您所看到的,这个函数的逻辑是最简单的,只是带有标题的弹出消息。...
Windows内核API HOOK 之 Inline Hook
oneVs1的专栏
10-14 2291
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。InlineHook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(InlineAssembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓APIHook,就是用自己写的
如何Hook Windows API
Daniel Ding 的专栏
07-31 689
<br />相信大家一定经常碰到内存泄漏的问题,在诊断过程中常用的一个工具就是LeakDiag,该工具可以让用户制定要查看哪些堆中的内存分配情况。碰巧我在项目中也需要类似的功能,但是由于当时不知道有LeakDiag这个工具,所以自己开发了一个。这里把方法拿出来和大家分享一下,希望能对大家有所帮助。<br /> <br />其实此类工具都是将负责内存分配的API进行Hook,让相应的函数调用先到自己的函数中,在那里完成一些统计信息的记录,然后在把调用转到真正的内存分配函数,再把结果返回给原始调用者。<br /
Windows Hook经验总结之一:API Hook方法汇总
ITer之家
11-17 5188
HOOK的目的是用我们自己的代码取代一些函数的代码以改变程序的行为。 静态HOOK:在进程运行前挂钩,采用用户级进程即可完成。比如:有些程序会在启动时需要原光盘,如果我们修改获取驱动类型的函数则可以从硬盘启动。 动态HOOK:挂钩系统进程(如服务)时要动态挂钩 本文介绍常见的hook方法和实现机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值