一、前言
钩子技术是一项很有有用价值的技术。在Windows下HOOK技术的方法比較多,使用比較灵活,常见的应用层的HOOK方法有Inline HOOK(详见《反病毒攻防研究第012篇:利用Inline HOOK实现主动防御》)、IAT HOOK、Windows钩子……HOOK技术涉及到了DLL相关的知识(详见《反病毒攻防研究第009篇:DLL注入(上)——DLL文件的编写》)。由于HOOK其它进程的时候须要訪问该进程的地址空间,使用DLL是必定的。HOOK技术也涉及到了注入的知识(详见《反病毒攻防研究第010篇:DLL注入(中)——DLL注入与卸载器的编写》),想要把完毕HOOK功能的DLL载入到目标进程空间中就要使用注入的知识了。而这次令计算器显示汉字,就正是须要使用IAT HOOK技术,通过DLL注入,来达成目的。
二、IAT HOOK的基本原理
在PE结构的IMAGE_IMPORT_DESCRIPTOR中,有两个IMAGE_THUNK_DATA结构体,第一个为导入名字表,第二个为导入地址表(IAT)。两个结构体在文件其中是没有区别的,可是当PE文件被装载内存后,第二个IMAGE_THUNK_DATA的值会被修正,该值为一个RVA,该RVA加上映像基址后,虚拟地址就保存了真正的导入函数的入口地址。
在这个描写叙述中我们知道,假设想要对IAT进行HOOK,那么大概须要三个步骤,首先是获取要HOOK函数的地址,第二步是找到该函数所保存的IAT中的地址,最后一步是把IAT中的地址改动为HOOK函数的地址,这样就完毕了IAT HOOK。以下举例来说明一下。
比方根据我们这次的目的,想要在计算器中显示汉字,那么根据上一篇文章的分析,我们知道,须要HOOK的模块为user32.dll中的SetWindowTextW()函数,那么首先是获得该函数的地址,第二步是找到SetWindowTextW()所保存的IAT地址,最后一步是把IAT中的SetWindowTextW()函数的地址改动为HOOK函数的地址。
三、IAT HOOK的编码实现
这里依然要建立一个简单的DLL文件,然后定义好DLL文件的主函数,并定义一个hook_iat()函数,在DLL被进程载入的时候,首先保存原始API函数的地址,便于之后的恢复,然后让DLL文件去调用hook_iat()函数;当进程被卸载的时候,利用之前保存的API函数地址,恢复原始状态。代码例如以下:
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
switch( fdwReason )
{
// 当DLL被某进程载入时DllMain被调用
case DLL_PROCESS_ATTACH :
// 保存原始的API函数地址
g_pOrgFunc = GetProcAddress(GetModuleHandleW(L"user32.dll"),
"SetWindowTextW");
// 运行钩子函数
hook_iat("user32.dll", g_pOrgFunc, (PROC)MySetWindowTextW);
break;
// 当DLL被某进程卸载时DllMain被调用
case DLL_PROCESS_DETACH :
// 解除钩子函数
hook_iat("user32.dll", (PROC)MySetWindowTextW, g_pOrgFunc);
break;
}
return TRUE;
}
在遍历某程序的导入表时是通过文件映射来完毕的,可是当一个可运行文件已经被Windows装载器装载如内存后,就能够省去CreateFile()、CreateFileMapping()等诸多繁琐的步骤(參见《反病毒攻防研究第004篇:利用缝隙实现代码的植入》),取而代之的是通过简单的GetModuleHandle()函数就能够得到exe文件的模块映像地址,并能够非常easy地获取DLL文件导入表的虚拟地址。
整个程序的完整代码例如以下:
#include "stdio.h"
#include "stdafx.h"
#include "wchar.h"
#include "windows.h"
typedef BOOL (WINAPI *PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString);
FARPROC g_pOrgFunc = NULL; //用于保存原始API函数地址
// SetWindowTextW的钩取函数
BOOL WINAPI MySetWindowTextW(HWND hWnd, LPWSTR lpString)
{
wchar_t* pNum = L"零壹贰叁肆伍陆柒捌玖";
wchar_t temp[2] = {0,};
int i = 0, nLen = 0, nIndex = 0;
nLen = wcslen(lpString);
for(i = 0; i < nLen; i++)
{
// 将阿拉伯数字转换为汉字大写形式
// lpString是宽字符版本号(占用两个字节)字符串
if( L'0' <= lpString[i] && lpString[i] <= L'9' )
{
temp[0] = lpString[i];
nIndex = _wtoi(temp);
lpString[i] = pNum[nIndex];
}
}
// 字符转换完毕后,再调用SetWindowTextW函数用于显示
return ((PFSETWINDOWTEXTW)g_pOrgFunc)(hWnd, lpString);
}
BOOL hook_iat(LPCSTR szDllName, PROC pfnOrg, PROC pfnNew)
{
HMODULE hMod;
LPCSTR szLibName;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
PIMAGE_THUNK_DATA pThunk;
DWORD dwOldProtect, dwRVA;
PBYTE pAddr;
// hMod, pAddr = ImageBase of calc.exe
// = VA to MZ signature (IMAGE_DOS_HEADER)
// 获取计算机进程模块基址
hMod = GetModuleHandle(NULL);
pAddr = (PBYTE)hMod;
// pAddr = VA to PE signature (IMAGE_NT_HEADERS)
// 定位PE结构
pAddr += *((DWORD*)&pAddr[0x3C]);
// dwRVA = RVA to IMAGE_IMPORT_DESCRIPTOR Table
dwRVA = *((DWORD*)&pAddr[0x80]);
// pImportDesc = VA to IMAGE_IMPORT_DESCRIPTOR Table
pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hMod+dwRVA);
for( ; pImportDesc->Name; pImportDesc++ )
{
// szLibName = VA to IMAGE_IMPORT_DESCRIPTOR.Name
szLibName = (LPCSTR)((DWORD)hMod + pImportDesc->Name);
if( !_stricmp(szLibName, szDllName) )
{
// pThunk = IMAGE_IMPORT_DESCRIPTOR.FirstThunk
// = VA to IAT(Import Address Table)
pThunk = (PIMAGE_THUNK_DATA)((DWORD)hMod +
pImportDesc->FirstThunk);
// pThunk->u1.Function = VA to API
for( ; pThunk->u1.Function; pThunk++ )
{
if( pThunk->u1.Function == (DWORD)pfnOrg )
{
// 更改内存属性为PAGE_EXECUTE_READWRITE
VirtualProtect((LPVOID)&pThunk->u1.Function,
4,
PAGE_EXECUTE_READWRITE,
&dwOldProtect);
// 改动IAT的值
pThunk->u1.Function = (DWORD)pfnNew;
// 恢复内存属性
VirtualProtect((LPVOID)&pThunk->u1.Function,
4,
dwOldProtect,
&dwOldProtect);
return TRUE;
}
}
}
}
return FALSE;
}
以上代码已经给出了具体的凝视,代码是对PE文件的基本操作,这里不再赘述。
四、測试程序的效果
将上述程序编译链接成功后,会得到一个DLL文件,使用DLL载入器(详见 《反病毒攻防研究第010篇:DLL注入(中)——DLL注入与卸载器的编写》),将这个DLL文件注入到一个计算器程序中,然后按下计算器中的每一个数字,例如以下图所看到的:图1 注入后的计算器程序
可见我们的程序注入是成功的。