MinHook - 最小化的 x86/x64 API 钩子库

最新推荐文章于 2024-06-20 19:45:00 发布
最新推荐文章于 2024-06-20 19:45:00 发布
阅读量4.9k 收藏 7
点赞数 1

背景

对windows API钩子感兴趣的人都知道有一个优秀的库被微软命名为'Detours'。它真的很有用,但是它的免费版本(Express)是不支持X64。它的收费版本(Professional)支持x64,但是对我来说太昂贵了。微软说它值一万美元。

因此我决定从零开始写我自己的库。但是我没有将Detours的功能完美的复制到我的库中,它仅有API钩子功能,因为这就是我想要的。

  

下载地址:http://www.codeproject.com/Articles/44326/MinHook-The-Minimalistic-x-x-API-Hooking-Libra

库的使用

请看下面的示例代码。这就是全部。有一次,我修复了一个严重的缺陷并改变了接口。它挂钩在MessageBoxW()函数并修改了它的文本。它包含在源码中。请在X64和X86模式下尝试它。

#include <Windows.h>
#include "MinHook.h"
 
#if defined _M_X64
#pragma comment(lib, "libMinHook.x64.lib")
#elif defined _M_IX86
#pragma comment(lib, "libMinHook.x86.lib")
#endif
 
typedef int (WINAPI *MESSAGEBOXW)(HWND, LPCWSTR, LPCWSTR, UINT);
 
// Pointer for calling original MessageBoxW.
MESSAGEBOXW fpMessageBoxW = NULL;
 
// Detour function which overrides MessageBoxW.
int WINAPI DetourMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)
{
    return fpMessageBoxW(hWnd, L"Hooked!", lpCaption, uType);
}
 
int main()
{
    // Initialize MinHook.
    if (MH_Initialize() != MH_OK)
    {
        return 1;
    }
 
    // Create a hook for MessageBoxW, in disabled state.
    if (MH_CreateHook(&MessageBoxW, &DetourMessageBoxW, 
    reinterpret_cast<void**>(&fpMessageBoxW)) != MH_OK)
    {
        return 1;
    }
 
    // Enable the hook for MessageBoxW.
    if (MH_EnableHook(&MessageBoxW) != MH_OK)
    {
        return 1;
    }
 
    // Expected to tell "Hooked!".
    MessageBoxW(NULL, L"Not hooked...", L"MinHook Sample", MB_OK);
 
    // Disable the hook for MessageBoxW.
    if (MH_DisableHook(&MessageBoxW) != MH_OK)
    {
        return 1;
    }
 
    // Expected to tell "Not hooked...".
    MessageBoxW(NULL, L"Not hooked...", L"MinHook Sample", MB_OK);
 
    // Uninitialize MinHook.
    if (MH_Uninitialize() != MH_OK)
    {
        return 1;
    }
 
    return 0;
}

它是怎样工作的

软件的基本思想和微软的Detours以及Daniel Pistelli先生Hook-Engine是一样的。它用一条JMP(无条件跳转)到绕道函数的指令替换目标函数最初的几条指令。这是一个安全的,稳定的并经过验证的方法。

  

重写目标函数

在X64/X86指令集中,有多种形式的JMP指令。我决定总是使用5个字节的32位相对JMP指令。实际上它是可用的最短的JMP指令。在这种情况下,越短越好。

在X86模式中,32位相对JMP覆盖了整个地址空间。因为在相对地址计算中溢出的位被忽略,所以在X86模式中,函数的地址是不重要的

; x86 mode (assumed that the target function is at 0x40000000)
 
; 32bit relative JMPs of 5 bytes cover whole address space
0x40000000:  E9 FBFFFFBF      JMP 0x0        (EIP+0xBFFFFFFB)
0x40000000:  E9 FAFFFFBF      JMP 0xFFFFFFFF (EIP+0xBFFFFFFA)
 
; Shorter forms are useless in this case
; 8bit JMPs of 2 bytes cover -126 ~ +129 bytes
0x40000000:  EB 80            JMP 0x3FFFFF82 (EIP-0x80)
0x40000000:  EB 7F            JMP 0x40000081 (EIP+0x7F)
; 16bit JMPs of 4 bytes cover -32764 ~ +32771 bytes
0x40000000:  66E9 0080        JMP 0x3FFF8004 (EIP-0x8000)
0x40000000:  66E9 FF7F        JMP 0x40008003 (EIP+0x7FFF)

但是在X64模式中,存在一个问题。JMP指令和整个地址空间比较仅仅覆盖了很窄的范围。因此我引入了一个新的功能名叫中继函数(Relay Function),它是到绕道函数的64位跳转,被放置在目标函数的附近。幸运的是,VirtualAlloc() API函数能接受分配的地址,在目标函数附近需找未分配的区域是容易的工作。 

; x64 mode (assumed that the target function is at 0x140000000)
 
; 32bit relative JMPs of 5 bytes cover about -2GB ~ +2GB
0x140000000: E9 00000080      JMP 0xC0000005  (RIP-0x80000000)
0x140000000: E9 FFFFFF7F      JMP 0x1C0000004 (RIP+0x7FFFFFFF)
 
; Target function (Jump to the Relay Function)
0x140000000: E9 FBFF0700      JMP 0x140080000 (RIP+0x7FFFB)
 
; Relay function (Jump to the Detour Function)
0x140080000: FF25 FAFF0000    JMP [0x140090000 (RIP+0xFFFA)]
0x140090000: xxxxxxxxxxxxxxxx ; 64bit address of the Detour Function

构建Trampoline函数

目标函数是detour的覆写。但是我们如何调用原始目标函数呢?在微软的Detours中有一个叫做“Trampoline”的函数(也被Pistelli先生称为“桥梁函数”)。这是原函数无条件跳转的一个索引克隆,用来恢复到原函数。实际中的例子在这里。它们是MinHook内部所创造的具体实现。

我们应该拆机原函数以了解临界和被复制的指令。我采纳了Vyacheslav Patkov先生的“Hacker反汇编引擎(HDE)”作为反汇编工具。它体积小巧、轻量级且符合我的目标。我为检验目的反汇编了上千个Windows XP、Vista和7的API函数,并为它们构建了trampoline函数。

; Original "USER32.dll!MessageBoxW" in x64 mode
0x770E11E4: 4883EC 38         SUB RSP, 0x38
0x770E11E8: 4533DB            XOR R11D, R11D
; Trampoline
0x77064BD0: 4883EC 38         SUB RSP, 0x38
0x77064BD4: 4533DB            XOR R11D, R11D
0x77064BD7: FF25 5BE8FEFF     JMP QWORD NEAR [0x77053438 (RIP-0x117A5)]
; Address Table
0x77053438: EB110E7700000000  ; Address of the Target Function +7 (for resuming)
 
; Original "USER32.dll!MessageBoxW" in x86 mode
0x7687FECF: 8BFF              MOV EDI, EDI
0x7687FED1: 55                PUSH EBP
0x7687FED2: 8BEC              MOV EBP, ESP
; Trampoline
0x0014BE10: 8BFF              MOV EDI, EDI
0x0014BE12: 55                PUSH EBP
0x0014BE13: 8BEC              MOV EBP, ESP
0x0014BE15: E9 BA407376       JMP 0x7687FED4

假使orihinal函数包含跳转指令将会怎样?当然,他们应该被修改成与original有一样的地址。 

; Original "kernel32.dll!IsProcessorFeaturePresent" in x64 mode
0x771BD130: 83F9 03           CMP ECX, 0x3
0x771BD133: 7414              JE 0x771BD149
; Trampoline
; (Became a little complex, because 64 bit version of JE doesn't exist)
0x77069860: 83F9 03           CMP ECX, 0x3
0x77069863: 74 02             JE 0x77069867
0x77069865: EB 06             JMP 0x7706986D
0x77069867: FF25 1BE1FEFF     JMP QWORD NEAR [0x77057988 (RIP-0x11EE5)]
0x7706986D: FF25 1DE1FEFF     JMP QWORD NEAR [0x77057990 (RIP-0x11EE3)]
; Address Table
0x77057988: 49D11B7700000000  ; Where the original JE points.
0x77057990: 35D11B7700000000  ; Address of the Target Function +5 (for resuming)
 
; Original "gdi32.DLL!GdiFlush" in x86 mode
0x76479FF4: E8 DDFFFFFF       CALL 0x76479FD6
; Trampoline
0x00147D64: E8 6D223376       CALL 0x76479FD6
0x00147D69: E9 8B223376       JMP 0x76479FF9
 
; Original "kernel32.dll!CloseProfileUserMapping" in x86 mode
0x763B7918: 33C0              XOR EAX, EAX
0x763B791A: 40                INC EAX
0x763B791B: C3                RET
0x763B791C: 90                NOP
; Trampoline (Additional jump is not required, because this is a perfect function)
0x0014585C: 33C0              XOR EAX, EAX
0x0014585E: 40                INC EAX
0x0014585F: C3                RET

RIP相对寻址模式对于x64模式一直是一个问题。他们的相对地址应该被修改为指向一样的地址。  

; Original "kernel32.dll!GetConsoleInputWaitHandle" in x64 mode
0x771B27F0: 488B05 11790C00   MOV RAX, [0x7727A108 (RIP+0xC7911)]
; Trampoline
0x77067EB8: 488B05 49222100   MOV RAX, [0x7727A108 (RIP+0x212249)]
0x77067EBF: FF25 4BE3FEFF     JMP QWORD NEAR [0x77056210 (RIP-0x11CB5)]
; Address Table
0x77056210: F7271B7700000000  ; Address of the Target Function +7 (for resuming)
 
; Original "user32.dll!TileWindows" in x64 mode
0x770E023C: 4883EC 38         SUB RSP, 0x38
0x770E0240: 488D05 71FCFFFF   LEA RAX, [0x770DFEB8 (RIP-0x38F)]
; Trampoline
0x77064A80: 4883EC 38         SUB RSP, 0x38
0x77064A84: 488D05 2DB40700   LEA RAX, [0x770DFEB8 (RIP+0x7B42D)]
0x77064A8B: FF25 CFE8FEFF     JMP QWORD NEAR [0x77053360 (RIP-0x11731)]
; Address Table
0x77053360: 47020E7700000000 ; Address of the Target Function +11 (for resuming)

结论

虽然这个库很小,很简单,但是我认为他是很实用的。请享受它吧!



whatday
关注
无root 修改/usr/lib/x86_64-linux-gnu/libstdc 解决ImportError: /usr/lib/x86_64-linux-gnu/libstdc++.so.6: v
亓官劼的博客
04-21 3712
无root 修改/usr/lib/x86_64-linux-gnu/libstdc 解决ImportError: /usr/lib/x86_64-linux-gnu/libstdc++.so.6: version `GLIBCXX_3.4.22‘ not found   大家好,我是亓官劼(qí guān jié ),在【亓官劼】公众号、CSDN、GitHub、B站、华为开发者论坛等平台分享一些技术博文,主要包括前端开发、python后端开发、小程序开发、数据结构与算法、docker、Linux常用运维
解决/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/libSM.so:对‘uuid_generate@UUID_1.0’未定义的引用
weixin_43147335的博客
07-25 5010
问题 今天在编译一个C++项目时,出现了问题,这个问题之前也出现过,当时没有在意,今天又出现了,所以决定记录一下,以免以后又出现又要到处找! 解决方案 问题出在ros和anaconda的
MinHook-简约的x86 / x64 API挂钩
04-11
x64 / x86环境提供Microsoft Detours功能的基本部分。
x64 APIHOOK
04-17
64位系统的apihook类,方便使用apihook,64位asm很麻烦的..
DirectX Hook - 优雅的实现游戏辅助窗口
最新发布
2401_85027082的博客
06-20 846
DirectX 是 Windows 中的一组组件,允许软件(主要且尤其是游戏)直接与视频和音频硬件结合使用。使用 DirectX 的游戏可以更有效地使用内置于硬件的多媒体加速器功能,从而改善你的整体多媒体体验。实际上关于DirectX 还有很多有意思的地方,比如说经典的WalkHack,通过钩取函数,实现获取人物模型编号,以及修改Z轴深度缓存来达到想要的目的。还有对于imgui,也是有很多可以学习的地方,对比古老的Mfc窗口,或者自定义窗口,imgui的窗口简单而美观,并且实现起来也很方便。
64位inline api hook
Reverser的专栏
05-23 1014
说起Api hook朋友们都不陌生,说白了也就是运用WINDOWS系统钩子,捕获程序对系统API的调用,从面改变API默认的处理方式,以达到某种特殊的目的。而inline api hook在32位系统中通常是先保存API函数入口处的5个字节,然后改变API函数入口处的5个字节为一个JMP xx xx xx xx跳转指令,xx xx xx xx处是我们自己的处理函数的偏移地址。在我们的处理函数中,进
x64 APIHook
04-17
x64 APIHook类,用在x64位操作系统下的apihook
MiniHookEngineForX86X64.7z
07-01
1、编译成.dll导入,可以十分快捷、简单、方便地完成InlineHook。 2、同时支持X64X86系统。 3、此处是VS2019下的动态链接项目。 4、有问题,可以直接联系QQ 2339814485,注明来意。
MinHook - 在简约的x86/x64 API挂接
06-20
MinHook是一个针对x86x64架构的API钩子,它的设计目标是提供一个轻量级、高效且可靠的API拦截解决方案。API钩子技术在IT领域中广泛应用于软件调试、性能监控、功能增强等多种场景。MinHook借鉴了微软的Detours...
eclipse-jee-mars-R-win32-x86_64位官方绿色版.zip
06-30
Eclipse-jee-mars-R-win32-x86_64位官方绿色版.zip是一个针对Windows平台的64位版本的Eclipse集成开发环境(IDE)的压缩包,特别为Java企业级(J2EE)应用程序开发设计。该版本发布于2015年6月30日,是当时Eclipse ...
jacob.jar+32/64位-jacob-1.17-M2-x86/64.dll
05-11
在标题"jacob.jar+32/64位-jacob-1.17-M2-x86/64.dll"中,我们可以看出,Jacob包含了两个版本的动态链接(DLL)文件,分别是针对32位和64位操作系统的jacob-1.17-M2-x86.dll和jacob-1.17-M2-x64.dll。...
HOOK API 完美支持 x86 x64
05-24
完美支持 x86x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
一个比较稳定的API劫持代码APIHookX86X64.rar
09-11
一个比较稳定的API劫持代码APIHookX86X64
C# 优雅的 APIHOOK 支持X86+X64源码
09-21
using System; using System.Runtime.InteropServices; namespace NativeHook.Test { public delegate Int32 MessageBoxW(IntPtr hWnd, [MarshalAs(UnmanagedType.LPWStr)] string lpText, [MarshalAs(UnmanagedType.LPWStr)] string lpCaption, UInt32 uType); public class MessageBoxHook : NtAPIHook { [DllHook("user32", EntryPoint = "MessageBoxW")] public Int32 MessageBox(IntPtr owner, string text, string caption, UInt32 options) { //拦截信息 Console.Title = caption; Console.WriteLine(text); //调用源函数 return Origin.Invoke(owner, text, caption, options); } } } [STAThread] static void Main(string[] args) { using (var hook = new MessageBoxHook()) { //绕过Hook直接调用源函数 hook.Origin(IntPtr.Zero, "111", "222", 0); //调用ApiHook MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); } //Hook解除拦截不到 MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); }
API hook详解
01-24
API Hook钩子技术的原理讲解以及应用,赋有核心代码。
64/32 hook api 实现
11-23
原理说明地址 http://www.codeproject.com/KB/winsdk/LibMinHook.aspx
minhook
x-2010的笔记
09-12 1220
它是最小化的Windows x86/x64API钩子,github地址。 它能够重写目标函数。以下是最常用的一个实例,在此是以VS2013 Release Win32的格式编译它,需先编译好MinHook VC12的工程,得到libMinHook.x86.lib,再连接到此工程中: // test.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h"
MinHook的使用 64位下,过滤LoadLibraryExW
wql2rainbow的专栏
06-25 268
MinHook的使用 64位下,过滤LoadLibraryExW 目录 MinHook的使用 x64 一丶简介 1.minHook下载以及安装. 二丶使用MinHook,过滤LoadLibraryExW 2.1编写X64测试程序. 2.2使用MinHook 2.3完整HOOK代码 https://www.cnblogs.com/iBinary/p/10805200.html ...
API Hook
fxismonk的专栏
09-22 339
两种方法: 一、覆盖代码 1. 找到要拦截的函数地址 2. 保存起始的几个字节 3. 使用JUMP命令覆盖这几个字节,跳转到替代函数地址 4. 执行替代函数 5. 用第2步保存的字节恢复函数开始的几个字节 6. 正常调用被拦截函数 7. 再次循环2,3步调用替代函数 这种方法对于x86x64,IA-64要分别编程,因为CPU JUMP指令不同。另外在抢占式的多线程环境中,不能工
# Project: 项目1 # Makefile created by Embarcadero Dev-C++ 6.3 CPP = g++.exe CC = gcc.exe WINDRES = windres.exe OBJ = main.o LINKOBJ = main.o LIBS = -L"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib" -L"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/x86_64-w64-mingw32/lib" -static-libgcc INCS = -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/x86_64-w64-mingw32/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib/gcc/x86_64-w64-mingw32/9.2.0/include" CXXINCS = -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/x86_64-w64-mingw32/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib/gcc/x86_64-w64-mingw32/9.2.0/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib/gcc/x86_64-w64-mingw32/9.2.0/include/c++" BIN = 项目1.exe CXXFLAGS = $(CXXINCS) -std=c++11 CFLAGS = $(INCS) -std=c++11 DEL = C:\Program Files (x86)\Embarcadero\Dev-Cpp\devcpp.exe INTERNAL_DEL .PHONY: all all-before all-after clean clean-custom all: all-before $(BIN) all-after clean: clean-custom ${DEL} $(OBJ) $(BIN) $(BIN): $(OBJ) $(CPP) $(LINKOBJ) -o $(BIN) $(LIBS) main.o: main.cpp $(CPP) -c main.cpp -o main.o $(CXXFLAGS) 我复制了你的代码 弹出来了这个
07-22
根据您提供的Makefile,这个错误信息是由于在删除目标文件时出现问题引起的。这可能是由于您的Dev-C++环境配置不正确导致的。 在您的Makefile中,您使用了`$(DEL)`变量来执行删除操作。然而,在Windows环境下,删除操作通常使用`del`命令而不是`devcpp.exe INTERNAL_DEL`。 为了解决这个问题,您可以尝试将以下行: ``` DEL = C:\Program Files (x86)\Embarcadero\Dev-Cpp\devcpp.exe INTERNAL_DEL ``` 替换为: ``` DEL = del ``` 这将使用Windows的`del`命令来执行删除操作。 修改后的Makefile如下所示: ```makefile # Project: 项目1 # Makefile created by Embarcadero Dev-C++ 6.3 CPP = g++.exe CC = gcc.exe WINDRES = windres.exe OBJ = main.o LINKOBJ = main.o LIBS = -L"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib" -L"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/x86_64-w64-mingw32/lib" -static-libgcc INCS = -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/x86_64-w64-mingw32/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib/gcc/x86_64-w64-mingw32/9.2.0/include" CXXINCS = -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/x86_64-w64-mingw32/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib/gcc/x86_64-w64-mingw32/9.2.0/include" -I"C:/Program Files (x86)/Embarcadero/Dev-Cpp/TDM-GCC-64/lib/gcc/x86_64-w64-mingw32/9.2.0/include/c++" BIN = 项目1.exe CXXFLAGS = $(CXXINCS) -std=c++11 CFLAGS = $(INCS) -std=c++11 DEL = del .PHONY: all all-before all-after clean clean-custom all: all-before $(BIN) all-after clean: clean-custom ${DEL} $(OBJ) $(BIN) $(BIN): $(OBJ) $(CPP) $(LINKOBJ) -o $(BIN) $(LIBS) main.o: main.cpp $(CPP) -c main.cpp -o main.o $(CXXFLAGS) ``` 请尝试使用修改后的Makefile重新编译您的项目,看看是否能够解决问题。如果还有其他错误信息,请提供详细的错误信息,以便我更好地帮助您解决问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值