封装IATHOOK类

最新推荐文章于 2021-03-11 21:37:36 发布
最新推荐文章于 2021-03-11 21:37:36 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: C/C++学习 文章标签: winapi image descriptor basic hook null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaocaiju/article/details/7665633
版权

1. 定义成类的静态成员,从而实现自动调用

	static CAPIHOOK sm_LoadLibraryA;
	static CAPIHOOK sm_LoadLibraryW;
	static CAPIHOOK sm_LoadLibraryExA;
	static CAPIHOOK sm_LoadLibraryExW;
	static CAPIHOOK sm_GetProcAddress;

2. ReplaceIATEntryInAllMods中遍历模块的框架 

void CAPIHOOK::ReplaceIATEntryInAllMods(LPCTSTR pszExportMod, PROC pfnCurrent, PROC pfnNewFunc, BOOL bExcludeAPIHookMod)
{
	//取得当前模块句柄
	HMODULE hModThis = NULL;
	if (bExcludeAPIHookMod)
	{
		MEMORY_BASIC_INFORMATION mbi;
		if (0 != ::VirtualQuery(ReplaceIATEntryInAllMods, &mbi, sizeof(MEMORY_BASIC_INFORMATION))) //ReplaceIATEntryInAllMods必须为类的static函数
		{
			hModThis = (HMODULE)mbi.AllocationBase;
		}
	}
	//取得本进程的模块列表
	HANDLE hModuleSnap = INVALID_HANDLE_VALUE; 
	MODULEENTRY32 me32;
	hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, GetCurrentProcessId());
	if (INVALID_HANDLE_VALUE == hModuleSnap)
	{
		return;
	}
	me32.dwSize = sizeof( MODULEENTRY32 ); 
	if( !Module32First( hModuleSnap, &me32 ) ) 
	{ 
		return;
	}
	do 
	{ //对每一个模块
		if (me32.hModule != hModThis)
		{
			ReplaceIATEntryInOneMod(pszExportMod, pfnCurrent, pfnNewFunc, me32.hModule);
		}
	} while( Module32Next( hModuleSnap, &me32 ) ); 


	::CloseHandle(hModuleSnap); //配对写

}

3. 遍历链表摘除自己的框架 

CAPIHOOK::~CAPIHOOK(void)
{
	//取消对函数的HOOK
	ReplaceIATEntryInAllMods(m_pszModName, m_pfnHook, m_pfnOrig, TRUE);

	//把自己从链表中删除
	CAPIHOOK* p = sm_pHeader;
	if (p == this)
	{
		sm_pHeader = this->m_pNext;
	}
	else
	{
		while(p != NULL)
		{
			if (p->m_pNext == this)
			{
				p->m_pNext = this->m_pNext;
				break;
			}
			p = p->m_pNext;
		}
	}
}

4. 在cpp中静态变量写好后,再编译,不然容易出现LINK错误 

CAPIHOOK *CAPIHOOK::sm_pHeader = NULL;



源码:

.cpp

#include "APIHOOK.h"
#include <Tlhelp32.h>

CAPIHOOK *CAPIHOOK::sm_pHeader = NULL;
CAPIHOOK CAPIHOOK::sm_LoadLibraryA("kernel32.dll", "LoadLibraryA", (PROC)CAPIHOOK::LoadLibraryA, TRUE);
CAPIHOOK CAPIHOOK::sm_LoadLibraryW("kernel32.dll", "LoadLibraryW", (PROC)CAPIHOOK::LoadLibraryW, TRUE);
CAPIHOOK CAPIHOOK::sm_LoadLibraryExA("kernel32.dll", "LoadLibraryExA", (PROC)CAPIHOOK::LoadLibraryExA, TRUE);
CAPIHOOK CAPIHOOK::sm_LoadLibraryExW("kernel32.dll", "LoadLibraryExW", (PROC)CAPIHOOK::LoadLibraryExW, TRUE);
CAPIHOOK CAPIHOOK::sm_GetProcAddress("kernel32.dll", "GetProcAddress", (PROC)CAPIHOOK::GetProcess, TRUE);
CAPIHOOK::CAPIHOOK(LPTSTR lpszModName, LPSTR pszFuncName, PROC pfnHook, BOOL bExcludeAPIHookMod)
{
	//初始化变量
	m_pszModName = lpszModName;
	m_pszFuncName = pszFuncName;
	m_pfnOrig = ::GetProcAddress(::GetModuleHandleA(lpszModName), pszFuncName);
	m_pfnHook = pfnHook;

	//将此对象加入链表中
	m_pNext = sm_pHeader;
	sm_pHeader = this;

	//在当前已加载的模块中HOOK这个函数
	ReplaceIATEntryInAllMods(lpszModName, m_pfnOrig, m_pfnHook, bExcludeAPIHookMod);
}


CAPIHOOK::~CAPIHOOK(void)
{
	//取消对函数的HOOK
	ReplaceIATEntryInAllMods(m_pszModName, m_pfnHook, m_pfnOrig, TRUE);

	//把自己从链表中删除
	CAPIHOOK* p = sm_pHeader;
	if (p == this)
	{
		sm_pHeader = this->m_pNext;
	}
	else
	{
		while(p != NULL)
		{
			if (p->m_pNext == this)
			{
				p->m_pNext = this->m_pNext;
				break;
			}
			p = p->m_pNext;
		}
	}
}
//防止程序运行期间动态加载模块
void CAPIHOOK::HookNewlyLoadedModule(HMODULE hModule, DWORD dwFlags)
{
	if (hModule!=NULL && (dwFlags&LOAD_LIBRARY_AS_DATAFILE)==0)
	{
		CAPIHOOK* p = sm_pHeader;  //循环遍历链表,对每个CAPIHOOK进入HOOK
		if (p != NULL)  
		{
			ReplaceIATEntryInOneMod(p->m_pszModName, p->m_pfnOrig, p->m_pfnHook, hModule);
			p = p->m_pNext;
		}
	}

}

//防止程序运行期间动态调用API函数
FARPROC WINAPI CAPIHOOK::GetProcess(HMODULE hModule, PCSTR pszProcName)
{
	//得到函数的真实地址
	FARPROC pfn = ::GetProcAddress(hModule, pszProcName);
	//遍历列表 看是不是要HOOK的函数
	CAPIHOOK* p = sm_pHeader;
	while(p != NULL)
	{
		if (p->m_pfnOrig == pfn) //是要HOOK的函数
		{
			pfn = p->m_pfnHook; //HOOK掉
			break;
		}
		p = p->m_pNext;
	}
	return pfn;

}

void CAPIHOOK::ReplaceIATEntryInOneMod(LPCTSTR pszExportMod, PROC pfnCurrent, PROC pfnNewFunc, HMODULE hModCaller)
{

	IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModCaller;
	IMAGE_OPTIONAL_HEADER* pOpNtHeader = (IMAGE_OPTIONAL_HEADER*)((BYTE*)hModCaller + pDosHeader->e_lfanew + 24); //这里加24
	IMAGE_IMPORT_DESCRIPTOR* pImportDesc = (IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)hModCaller + pOpNtHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

	BOOL bFindDll = FALSE;
	while (pImportDesc->FirstThunk)
	{
		char* pszDllName = (char*)((BYTE*)hModCaller + pImportDesc->Name);

		if (stricmp(pszDllName, pszExportMod) == 0)//如果找到pszExportMod模块,相当于hook messageboxa时的“user32.dll”
		{
			bFindDll = TRUE;
			break;
		}
		pImportDesc++;	
	}

	if (bFindDll)
	{
		DWORD n = 0;
		//一个IMAGE_THUNK_DATA就是一个导入函数
		IMAGE_THUNK_DATA* pThunk = (IMAGE_THUNK_DATA*)((BYTE*)hModCaller + pImportDesc->OriginalFirstThunk);
		while (pThunk->u1.Function)
		{
			//取得函数名称
			char* pszFuncName = (char*)((BYTE*)hModCaller+pThunk->u1.AddressOfData+2); //函数名前面有两个..
			//printf("function name:%-25s,  ", pszFuncName);
			//取得函数地址
			PDWORD lpAddr = (DWORD*)((BYTE*)hModCaller + pImportDesc->FirstThunk) + n; //从第一个函数的地址,以后每次+4字节
			//printf("addrss:%X\n", lpAddr);
			//在这里是比较的函数地址
			if (*lpAddr == (DWORD)pfnCurrent)  //找到iat中的函数地址
			{								
				DWORD* lpNewProc = (DWORD*)pfnNewFunc;
				MEMORY_BASIC_INFORMATION mbi;
				DWORD dwOldProtect;
				//修改内存页的保护属性
				::VirtualQuery(lpAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION));
				::VirtualProtect(lpAddr, sizeof(DWORD), PAGE_READWRITE, &dwOldProtect);
				::WriteProcessMemory(GetCurrentProcess(), lpAddr, &lpNewProc, sizeof(DWORD), NULL);
				::VirtualProtect(lpAddr, sizeof(DWORD), dwOldProtect, NULL);
				return;
			}			
			n++; //每次增加一个DWORD
		}	
	}
}


void CAPIHOOK::ReplaceIATEntryInAllMods(LPCTSTR pszExportMod, PROC pfnCurrent, PROC pfnNewFunc, BOOL bExcludeAPIHookMod)
{
	//取得当前模块句柄
	HMODULE hModThis = NULL;
	if (bExcludeAPIHookMod)
	{
		MEMORY_BASIC_INFORMATION mbi;
		if (0 != ::VirtualQuery(ReplaceIATEntryInAllMods, &mbi, sizeof(MEMORY_BASIC_INFORMATION))) //ReplaceIATEntryInAllMods必须为类的static函数
		{
			hModThis = (HMODULE)mbi.AllocationBase;
		}
	}
	//取得本进程的模块列表
	HANDLE hModuleSnap = INVALID_HANDLE_VALUE; 
	MODULEENTRY32 me32;
	hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, GetCurrentProcessId());
	if (INVALID_HANDLE_VALUE == hModuleSnap)
	{
		return;
	}
	me32.dwSize = sizeof( MODULEENTRY32 ); 
	if( !Module32First( hModuleSnap, &me32 ) ) 
	{ 
		return;
	}
	do 
	{ //对每一个模块
		if (me32.hModule != hModThis)
		{
			ReplaceIATEntryInOneMod(pszExportMod, pfnCurrent, pfnNewFunc, me32.hModule);
		}
	} while( Module32Next( hModuleSnap, &me32 ) ); 


	::CloseHandle(hModuleSnap); //配对写

}

//防止自动加载
HMODULE WINAPI CAPIHOOK::LoadLibraryA(LPCTSTR lpFileName)
{
	HMODULE hModule = LoadLibraryA(lpFileName);
	HookNewlyLoadedModule(hModule, 0); //这个函数中忆检测hModule 了
	return hModule;
}
HMODULE WINAPI CAPIHOOK::LoadLibraryW(LPCTSTR lpFileName)
{
	HMODULE hModule = LoadLibraryW(lpFileName);
	HookNewlyLoadedModule(hModule, 0); //这个函数中忆检测hModule 了
	return hModule;
}
HMODULE WINAPI CAPIHOOK::LoadLibraryExA(LPCTSTR lpFileName, HANDLE hFile,  DWORD dwFlags)
{
	HMODULE hModule = LoadLibraryExA(lpFileName, hFile, dwFlags);
	HookNewlyLoadedModule(hModule, dwFlags); //这个函数中忆检测hModule 了
	return hModule;
}
HMODULE WINAPI CAPIHOOK::LoadLibraryExW(LPCTSTR lpFileName, HANDLE hFile,  DWORD dwFlags)
{
	HMODULE hModule = LoadLibraryExW(lpFileName, hFile, dwFlags);
	HookNewlyLoadedModule(hModule, dwFlags); //这个函数中忆检测hModule 了
	return hModule;
}


.h 

#pragma once
#include <Windows.h>

class CAPIHOOK
{
public:
	CAPIHOOK(LPTSTR lpszModName, LPSTR pszFuncName, PROC pfnHook, BOOL bExcludeAPIHookMod = TRUE);
	~CAPIHOOK(void);


private:
	static void ReplaceIATEntryInOneMod(LPCTSTR pszExportMod, PROC pfnCurrent, PROC pfnNewFunc, HMODULE hModCaller);
	static void ReplaceIATEntryInAllMods(LPCTSTR pszExportMod, PROC pfnCurrent, PROC pfnNewFunc, BOOL bExcludeAPIHookMod);
	//防止程序运行期间动态加载模块, 当一个新DLL被加载时调用
	static void HookNewlyLoadedModule(HMODULE hModule,  DWORD dwFlags);


	//跟踪当前进程加载新的DLL
	static HMODULE WINAPI LoadLibraryA(LPCTSTR lpFileName);
	static HMODULE WINAPI LoadLibraryW(LPCTSTR lpFileName);
	static HMODULE WINAPI LoadLibraryExA(LPCTSTR lpFileName, HANDLE hFile,  DWORD dwFlags);
	static HMODULE WINAPI LoadLibraryExW(LPCTSTR lpFileName, HANDLE hFile,  DWORD dwFlags);
	//防止程序运行期间动态调用API函数 对于请求已HOOK的API函数,返回用户自定义的函数地址
	static FARPROC WINAPI GetProcess(HMODULE hModule, PCSTR pszProcName);

private: //定义成静态的,会自动调用,从而实现自动HOOK
	static CAPIHOOK sm_LoadLibraryA;
	static CAPIHOOK sm_LoadLibraryW;
	static CAPIHOOK sm_LoadLibraryExA;
	static CAPIHOOK sm_LoadLibraryExW;
	static CAPIHOOK sm_GetProcAddress;

private:
	static CAPIHOOK* sm_pHeader; //钩子链表
	CAPIHOOK* m_pNext;

	//要钩子的函数
	PROC m_pfnOrig;
	PROC m_pfnHook;

	//要钩子的函数所在的dll
	LPSTR m_pszModName;
	//要钩子的函数名称
	LPSTR m_pszFuncName;
};


小驹
关注
专栏目录
IAT HOOK
hambaga的博客
08-13 564
IAT HOOK是指修改IAT中函数地址的值,使它指向我们自己实现的函数,在我们的函数内部调用原函数的技术。 下面演示对MessageBoxA设置IAT HOOK,运行效果如图: 这里演示了对MessageBoxA的修改,除了改变函数行为,我们还可以监视函数的参数和返回值,此处就不演示了,下面是代码。 // IATHook.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include
IAT Hook
weixin_30907523的博客
06-04 132
目录 IAT hook 一丶IAT 1.什么是 IAT表. 2.怎么进行HOOK IAT hook 一丶IAT 1.什么是 IAT表. 熟悉PE结构的应该知道.IAT 是导入表. 其IAT表如下: typedef struct _I...
IAT HOOK
weixin_44711063的博客
03-11 635
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
C++封装IATHOOK实例
09-04
下面将详细讨论如何在C++中封装IATHOOK以及其实现方法。 首先,IATHOOK封装涉及到定义静态成员变量,这些变量将作为要挂钩的函数的代理。例如,在给定的代码中,我们看到几个静态成员变量`sm_LoadLibraryA`, ...
Hook IAT hookdll资源表
11-21
`IATHook.cpp`是实现部分,而`IATHook.h`是头文件,包含接口声明和必要的型定义。 4. **API HOOK IAT方法**: 实现Hook IAT有多种方法,包括: - **原地替换法**:直接修改目标进程的IAT,用钩子函数的地址替换...
C++基于hook iat改变Messagebox实例
09-04
本实例重点讨论了如何使用C++结合HookIAT(Import Address Table,导入地址表)来改变`MessageBox`函数的行为。 1. **Hook基本概念**: Hook技术主要是通过在函数调用链路中插入自定义的处理代码,使得原本调用...
apihook钩子 api函数拦截.zip
03-28
- IAT(Import Address Table)篡改:修改PE文件的导入地址表,将目标API的入口地址改为钩子函数的地址。 - EAT(Export Address Table)篡改:对于动态链接库(DLL),可以通过修改其导出地址表来实现钩子。 - ...
几个apihook钩子的经典例子,不要错过哟!.zip
03-28
库中的APIHijack可能封装了DLL注入、IAT Hook等技术,使得开发者能更方便地在自己的程序中设置和管理钩子,而无需关注底层实现细节。 4. **应用与风险** API Hooking在软件开发中有多种用途,如逆向工程、调试、...
IAT HOOK教程.zip
09-25
IAT HOOK教程.zip
深入IAT HOOK
无心的博客
07-13 2217
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入表,在调用函数的时候,我们CALL的是导入地址表的一个地址,为什么要调用这里,而且在构造导入表的时候,导入名称表(INT)和导入地址表(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT表的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT表的填写 在上一篇文章中,我们构造导入表的时候,将 IAT 表和 INT 表都
IatHook
yazi1297的专栏
06-06 508
转自:http://bbs.pediy.com/showthread.php?p=1287440 hook,想来很多小菜和我一样,看到这个词就觉得激动,如果有一天我也学会了hook,我一定会成为大神。回忆起来,一年前我刚刚 熟悉论坛的时候,也是这样的心情。今天这篇文章,专为祭奠这个想法。这篇文章介绍iat hook,也就是修改导入表实现函数调用的hook (运行时hook本进程)。注:iat
C++实现IATHOOK封装及静态成员应用
"C++封装IATHOOK实例用于实现对IAT(Import Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统中,IAT是PE(Portable Executable)文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值