Hook技术:Ring3层下的Inline Hook(mov eax xxxxxxxx;jmp eax)详解【附源码】

最新推荐文章于 2022-04-20 23:06:36 发布
最新推荐文章于 2022-04-20 23:06:36 发布
阅读量1k 收藏 9
点赞数 4
分类专栏: HOOK技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/105884279
版权

Ring3层下的Inline Hook是最常用的Hook手段之一,是一种通过修改机器码的方式来实现hook的技术。

探究API调用正常执行流程

我们知道正常函数的执行流程是call 0xxxxxxxx,然后跳转到调用的函数去执行。

0x1000地址的call指令执行后跳转到0x3000地址处执行,执行完毕后再返回执行call指令的下一条指令。

我们以MessageBox为例

正常调用如下:

函数执行流程: 

首先是call MessageBox

可以看到MessageBox的地址为77101370

跳转到Message的程序开头。

我们在hook的时候,可能会读取或者修改call指令执行之前所压入栈的内容。

那么,我们可以将call指令替换成jmp指令,jmp到我们自己编写的函数,在函数里call原来的函数,函数结束后再jmp回到原先call指令的下一条指令。如图:

探究Inline Hook中的函数调用过程

实现思路比较简单,主要思想:

1、构造跳转指令。

2、在内存中找到欲HOOK函数地址,并保存欲HOOK位置处的前5个字节。(但其实并不一定就是5个字节,像是MessageBox就是6个字节)

3、将构造的跳转指令写入需HOOK的位置处。

4、当被HOOK位置被执行时会转到我们的流程执行。

5、如果要执行原来的流程,那么恢复HOOK,也就是还原被修改的字节。

6、执行函数原来的流程。

在这过程中,主要涉及到几个问题:

1、如何定位自己要hook的地址?

2、如何处理函数开头要替换的字节?

3、如何跳转以及跳转地址如何计算?

4、自己的函数执行完成后,如何跳转回来?

那么带着这几个问题,我们开始尝试实现Inline hook。

我们还是以MessageBox为例子,来探究一下上面的问题。

第一步:构造跳转指令


这里我们使用近距离地址跳转的jmp指令,它的机器码为E9,这种类型的jmp指令需要一个地址参数,为当前jmp指令地址距离目标函数地址的字节数。

一、正常的跳转计算公式如下所示”:

计算公式:jmp跳转的地址=自己实现的函数地址-(jmp所在的地址+5) (这里的5是 jmp xxxxxxxx的五个字节。

也就是:

*((ULONG*)(__HookCode + 1)) = (ULONG)FakeFuncAddress - ((ULONG)OriginalFuncAddress + 5);

、mov eax xxxxxxxx;

jmp eax

但是,在调用MessageBox的时候,函数开头的指令是6个字节,jmp xxxxxxxx只修改五个字节会出现问题。

所以在这里我们使用了mov eax,地址;jmp eax的方式。一共是七个字节。

// 构造新头部代码
    __NewCode[0] = 0xB8;            //
    memcpy(&__NewCode[1], &JmpAddress, 4);    // mov eax, _JmpAddr
    __NewCode[5] = 0xFF;            //
    __NewCode [6] = 0xE0;            // jmp eax

第二步:找到API函数地址,并保存前7字节

ReadProcessMemory(INVALID_HANDLE_VALUE, __MessageBoxAddress, __OldCode, 7, NULL);

第三步:将构造的跳转指令写入需HOOK的位置处

首先要修改内存属性为可读可写,然后再进行跳转指令的写入。

DWORD dwOldProtect = 0; //旧保护属性
	// 去内存保护
	::VirtualProtect(__MessageBoxAddress, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);
	//写入跳转,开始Hook
	WriteProcessMemory(INVALID_HANDLE_VALUE, __MessageBoxAddress, __NewCode, 7, NULL);
	// 写内存保护
	::VirtualProtect(__MessageBoxAddress, 7, dwOldProtect, &dwOldProtect);

4、当被HOOK位置被执行时会转到我们的流程执行

进入MessageBoxA之后,会发现前7个字节已经改变为我们的跳板指令。

然后就会转入我们实现的函数,进行执行。

5、如果要执行原来的流程,那么恢复HOOK,也就是还原被修改的字节

我们对原函数前七字节进行修改。

6、执行函数原来的流程

之后再对MessageBoxA()调用,就恢复正常了。

综上我们Inline Hook就已经实现了,现在我们来解决之前的问题:

1、如何定位自己要hook的地址?

调用API所在Dll,GetProAddress。

2、如何处理函数开头要替换的字节?

一般来说,是对前五个字节保存替换,但要视具体情况而定。

例如这里我们使用的就不是jmp xxxxxxxx,

而是mov eax xxxxxxxx;

       jmp eax

这时候就需要保存替换前7个字节了。

3、如何跳转以及跳转地址如何计算?

具体参考上面实现

根据《加密与解密》中,一共有五种跳转方式。

4、自己的函数执行完成后,如何跳转回来?

看上面的实现流程。

源码:

源码已上传我的资源,无需积分,兄弟们需要自取。

#include <windows.h>
#include <stdio.h>
#include <iostream>
#include <tchar.h>

//修改API入口为 mov eax, 00400000;jmp eax是程序能跳转到自己的函数
BYTE __NewCode[7] = { 0xE9, 0x0, 0x0, 0x0, 0x0, 0x0 };
BYTE __OldCode[7] = { 0 };

FARPROC __MessageBoxAddress;

int WINAPI MyMessageBoxA(
	HWND hWnd,          // handle to owner window
	LPCTSTR lpText,     // text in message box
	LPCTSTR lpCaption,  // message box title
	UINT uType          // message box style
);

void InlineHook();




void main()
{
	
	InlineHook();

	//调用MessageBoxA测试一下。
	MessageBoxA(NULL, "Hello World", "Title", MB_OK);
}

void InlineHook()
{
	HMODULE hModule_User32 = LoadLibrary("user32.dll");
	__MessageBoxAddress = GetProcAddress(hModule_User32, "MessageBoxA");

	//打印MessageBoxA的地址
	printf("__MessageBoxAddress is %x\n", __MessageBoxAddress);
	//MyMessageBoxA的地址
	printf("MyMessageBoxA Addr is %x\n", MyMessageBoxA);

	//读MessageBoxA函数的前6个字节
	if (ReadProcessMemory(INVALID_HANDLE_VALUE, __MessageBoxAddress, __OldCode, 7, NULL) == 0)
	{
		printf("ReadProcessMemory error\n");
		return;
	}
	//MessAgeBoxA()API 原6字节
	printf("__OldCode is %x%x%x%x%x%x%x\n", __OldCode[0], __OldCode[1], __OldCode[2],
		__OldCode[3], __OldCode[4], __OldCode[5], __OldCode[6]);

	DWORD JmpAddress = (DWORD)MyMessageBoxA;
	// 计算自定义函数的地址.
	// 构造新头部代码
	__NewCode[0] = 0xB8;            //
	memcpy(&__NewCode[1], &JmpAddress, 4);    // mov eax, _JmpAddr
	__NewCode[5] = 0xFF;            //
	__NewCode [6] = 0xE0;            // jmp eax
	DWORD dwOldProtect = 0;
	printf("NewBytes is %x%x%x%x%x\n", __NewCode[0], __NewCode[1], __NewCode[2], __NewCode[3],
		__NewCode[4], __NewCode[5], __NewCode[6]);

	//DWORD dwOldProtect = 0; //旧保护属性
	// 去内存保护
	::VirtualProtect(__MessageBoxAddress, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);
	//写入跳转,开始Hook
	WriteProcessMemory(INVALID_HANDLE_VALUE, __MessageBoxAddress, __NewCode, 7, NULL);
	// 写内存保护
	::VirtualProtect(__MessageBoxAddress, 7, dwOldProtect, &dwOldProtect);
}

int WINAPI MyMessageBoxA(
	HWND hWnd,          // handle to owner window
	LPCTSTR lpText,     // text in message box
	LPCTSTR lpCaption,  // message box title
	UINT uType          // message box style
)
{
	
	printf("MessageBoxA 已经被Hook\r\n");
	//恢复API头7个字节
	WriteProcessMemory(INVALID_HANDLE_VALUE, (void*)__MessageBoxAddress,
		(void*)__OldCode, 7, NULL);



	//调用正确的函数
	int ret = MessageBoxA(NULL, "Hello World", "Title", MB_OK);


	//写入跳转语句,继续Hook
	WriteProcessMemory(INVALID_HANDLE_VALUE, (void*)__MessageBoxAddress,
		(void*)__NewCode, 7, NULL);

	return ret;
}

运行结果:

参考资料:

《加密与解密(第四版)》——第十三章

王大碗Dw
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
SSDT的例子1-inlineHookjmp验证
谢绝留言与私信
10-20 660
前言SSDT Hook后, 如果要跳过函数开始的一些opcode, 就只能跳到没有call语句之前的代码. 因为call有重定位问题,即使opcode一样,call的实际地址也是不同的.试验记录#include <Ntddk.h> #include <stdlib.h> #include <stdio.h>typedef char CHAR; typedef unsigned char BYTE;
WIN64上一种只需修改函数6个字节的INLINE HOOK方法
yes2的专栏
03-17 1035
感谢: http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=8154 很久以前通过看雪看到这个帖子,里面提到了只需修改函数6个字节的INLINE HOOK方法,大概思路是利用函数头的前8字节的思路。 但是要求回帖可见,似乎注册门槛也挺高,就搁置了。 今天灵感突然来了,自己琢磨出来了: jmp qword ptr [rip - 0x
JMPHook
linuxheik的专栏
10-20 1025
#include "stdio.h"   #include "tchar.h"   #include "windows.h"         //offset=目标地址-(jmp指令起始地址+5)   //跳转指令解码:[0xe9][offset]   //  offset:有符号整型,四字节.它等于jmp指令的下一指令地址到目标地址相对距离   //  计算公式:   // 
APIHOOK实例剖析.rar_APIHOOK_c hook_hook api_hookapi_site:en.pudn.com
09-19
6. **JMP/EAX/寄存器重定向**:利用汇编语言,通过修改指令来实现钩子,通常在更底层的系统级Hook中使用。 在“APIHOOK实例剖析.txt”文件中,可能会详细解析这些方法,并给出具体的代码示例,帮助读者理解如何在...
WINDOWS钩子与API截获和替换Win32 API的开发包HookAPI源码1.62版
02-23
- **JMP/EAX Hook**:通过修改目标函数前几个指令实现。 - **VTable Hooking**:对于COM对象,可以通过修改虚函数表实现API截获。 3. **HookAPI1.62核心功能** - **动态API Hook**:在程序运行时,动态地替换API...
APIHook.rar_APIHOOK_delphi
最新发布
09-24
- **JMP/EAX Hook**:通过修改目标函数的第一条指令,使其跳转到钩子函数。 - **Import Address Table (IAT) Hook**:针对动态链接库(DLL)的导入地址表进行修改,替换API入口点。 - **Global Hooks**:Windows ...
APIHOOK.rar_APIHOOK_The Point
09-20
4. **JMP/EAX Hook**:这种技术通常用于x86汇编语言,通过修改目标API函数的第一条指令,使其跳转到钩子函数,执行完后再跳回原函数地址。 5. **IAT(Import Address Table)Hook**:这是最常见的API Hook方式,...
hook_api_delphi_DELPHIHOOK_hook_
10-01
3. **JMP/EAX技术**:对于静态钩子,有时我们会使用汇编指令,如JMPEAX寄存器的修改,来改变函数调用的行为。这需要对汇编语言有一定的了解。 4. **Intercept DLLs**:创建一个中间层DLL,将目标API函数导入到这...
JMP Call hook
11-19
JMP与CALL HOOK之间的较量,攻防之战
hook api jmp调用底层windows
05-06
环境vs2019 c++控制台程序,这个主要是修改Kernel32.dll入口来使得在启动前就监听函数。
inline hook原理和例子
weixin_44600099的博客
04-20 1265
inline hook原理和例子
HOOKInline-HOOK进程隐藏技术全面解析
perddy的专栏
01-22 3161
  图片: 800)this.width=800;if(this.height>600)this.height=600;" onclick="if(this.width>=800) window.open(http://www.luobo.cc/attachment/12_53590_32d0c19821432d7.jpg);" src="http://www.luob
Hook技术简单介绍
Hu4
03-01 5596
Hook主要就是通过一定手段在程序执行过程中进行干预。 IAT Hook 篡改MessageBox 借用accills的例子 #include &lt;windows.h&gt; #include &lt;stdio.h&gt; #include &lt;imagehlp.h&gt; #pragma comment(lib,"imagehlp.lib") //以MessageBoxA的...
HOOK API技术介绍
心之所向,身之所往
05-17 1298
在Windows 操作系统里面,API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多,分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。API HOOK技术是一种用于改变API执行结果的技术,例如翻译软件可以通过Hook TextOut函数或其他相关的API函数,在执行系统真正的API之前,截获TextOu
Windows平台实现内存hook,改写别人的函数
&Ψ的博客
06-23 3564
内存Hook 功能: 把其他人写的函数或者库中的函数在调用的时候跳转到自己写的函数中 1.实现所用到的Windows api //写入进程内存 WriteProcessMemory( PVZ_handle, //进程句柄 (LPVOID)address, //起始地址 date, //写入数据 sizeof(date), //写入长度 NULL);//返回值非零值代表成功。 //读进程内存 BOOL ReadProcessMemory( HANDLE hProcess,//进程句柄 PVOID pvAdd
滴水逆向笔记(八)
m0_51295934的博客
01-26 465
​ 一.JMP指令:修改EIP的值 JMP EAX=MOV EIP,EAX(虽然这条指令无法执行) 例子 此时我们执行JMP,EAX 二.CALL指令 CALL EAX=PUSH 地址B && MOV EIP,EAX 例子 ​ 圈起来的那部分是我们下的断点,点击编号然后按F2就会有这种效果,接着我们执行CALL 0x4012C5 此时可以看到ESP和EIP都改变了 三.RET指令 ​例子: 之后我们执行RET 可以看到此时它跳回了0x401285,而且EIP的值变为了0x401285,E
32位汇编语言学习笔记(7)--跳转指令
swordmanwk的专栏
11-23 3242
 正常情况下,指令是按照顺序执行的,跳转指令会导致程序的执行切换到一个新位置。 jmp跳转指令是无条件跳转指令。 可以是直接跳转,即跳转指令的目的地址通常由标号指明。也可以是间接跳转: jmp *%eax //用eax值作为跳转目的地址jmp *(%eax) //用eax指向的内存中保存的地址值作为跳转目的地址。   有条件跳转指令如下: j
Native+Hook+技术.pdf
08-07
本文主要探讨了三种常见的Native Hook技术:GOT/PLT Hook、Trap HookInline Hook。 1. **GOT/PLT Hook** - 在Android开发中,GOT/PLT Hook常用于替换动态链接库(DLL)中的函数。例如,在Chapter06-plus课程中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值