对DirectX/COM接口的挂钩

最新推荐文章于 2018-10-10 16:46:54 发布
最新推荐文章于 2018-10-10 16:46:54 发布
阅读量7.6k 收藏 14
点赞数 1
分类专栏: 挂钩 文章标签: dll methods api windows pascal hook
 
对DirectX/COM 接口的挂钩
 
 
         一般的挂钩(Hook)都是针对Windows API或消息的,而本文要讲的是如何挂钩一个DirectX/COM接口,有意思吧,请往下看,文中以DirectInput作为范例进行讲解。
 
 
         目标
         相比挂钩一个API调用,拦截一个COM接口的方法需要做更多的工作,如果我们要拦截的DLL已经被作者仔细检查过,只导出了类似create这样的接口函数,那么怎样才能达到我们挂钩的目的呢?
 
 
 
 
         从本质上来说,一个COM接口就是一张与其链接在一起的虚函数指针列表,所以,我们只需跟踪链接,并查看每一个节点,直到找到想要替换的函数指针即可。
 
 
         第一步
         从上图也可以看到,只有类似create的接口COM函数是可见的,由于DirectInputCreate函数会返回一个COM接口,所以就从它开始跟踪,在此,可以把DLL注入到目标程序的输入地址表(IAT)中。
 
 
         第二步
         如果目标程序调用了DirectInputCreate,我们的函数也会被调用,而且,会得到一个指针,其指向了虚函数表的指针,而这个虚函数表就是DirectInput的接口。
 
 
DECLARE_INTERFACE_(IDirectInputW, IUnknown)
{
   /*** IUnknown methods ***/
   STDMETHOD(QueryInterface)(THIS_ REFIID riid,
                             LPVOID * ppvObj) PURE;
   STDMETHOD_(ULONG,AddRef)(THIS) PURE;
   STDMETHOD_(ULONG,Release)(THIS) PURE;
 
   /*** IDirectInputW methods ***/
   STDMETHOD(CreateDevice)(THIS_ REFGUID,LPDIRECTINPUTDEVICEW *,
                           LPUNKNOWN) PURE;
   STDMETHOD(EnumDevices)(THIS_ DWORD,LPDIENUMDEVICESCALLBACKW,
                          LPVOID,DWORD) PURE;
   STDMETHOD(GetDeviceStatus)(THIS_ REFGUID) PURE;
   STDMETHOD(RunControlPanel)(THIS_ HWND,DWORD) PURE;
   STDMETHOD(Initialize)(THIS_ HINSTANCE,DWORD) PURE;
};
 
 
         第三步
         现在,就可用CreateDevice创建自己的设备了,在此会再次得到一个不同的虚函数指针表地址,它代表了设备。
 
 
 
 
         选择需要替换的方法,并在适当位置修改虚函数指针表以注入我们自己的函数。
 
 
         实现
         下面是实现步骤
 
 
         第一步
         要对一个API函数进行挂钩,可以使用SetWindowsHookEx这个Windows API,在此,我们创建了一个系统钩子,以监视启动的进程,检查其中是否有我们的目标程序。在确定之后,必须把它的输入模块名与想要进行替换的DLL进行比较,因为我们是对DirectInput进行挂钩,所以此项为DINPUT8.DLL。要找到此DLL,需遍历描述符。
 
 
//遍历每个输入描述符,在必要时重定向
   while ( pImportDesc->FirstThunk )
   {
      PSTR pszImportModuleName = MakePtr( PSTR, hModEXE,
                                          pImportDesc->Name);
 
      if ( lstrcmpi( pszImportModuleName, Hook->Name ) == 0 )
      {
         sprintf(dbBuffer,"Dll Found in module %s replace it/n",
                 Hook->Name );
         WriteToLog(dbBuffer);
         RedirectIAT( Hook, pImportDesc, (PVOID)hModEXE );
      }
 
      pImportDesc++;    //继续下一个输入描述符
   }
 
 
         找到之后,应使用VirtualQuery( pIAT, &mbi, sizeof(mbi) )从IAT中移除写保护,这样就可以写入到内存中了。在内存打开之后,还需遍历IAT查找入口项。
 
 
while ( pIteratingIAT->u1.Function )
{
   void* HookFn = 0;
 
   if ( !IMAGE_SNAP_BY_ORDINAL( pINT->u1.Ordinal ) )
   {
      PIMAGE_IMPORT_BY_NAME pImportName =
         MakePtr( PIMAGE_IMPORT_BY_NAME, pBaseLoadAddr,
                  pINT->u1.AddressOfData );
 
      //遍历挂钩函数
      SFunctionHook* FHook = DLLHook->Functions;
      while ( FHook->Name )
      {
         if ( lstrcmpi( FHook->Name, (char*)pImportName->Name ) == 0 )
         {
            sprintf(dbBuffer,"Hooked function: %s/n",
                    (char*)pImportName->Name );
            WriteToLog(dbBuffer);
            //在结构SFunctionHook中保存被替换的函数
            FHook->OrigFn = (unsigned long*)pIteratingIAT->u1.Function;
            HookFn = FHook->HookFn;
            break;
         }
 
         FHook++;
      }
 
   }
}
 
 
         现在,可替换为自己的函数了。
 
 
//在挂钩之后,替换IAT函数指针
if ( HookFn )
{
   //检查是代码还是数据
   //如果是代码,不应写入。
   if ( IsBadWritePtr( (PVOID)pIteratingIAT->u1.Function, 1 ) )
   {
      pIteratingIAT->u1.Function = (DWORD)HookFn;
   }
   else if ( osvi.dwPlatformId == VER_PLATFORM_WIN32_WINDOWS )
   {
      //检查“桩”是否在2GB内存地址空间之上
      if ( pIteratingIAT->u1.Function > (DWORD)0x80000000 )
         pIteratingIAT->u1.Function = (DWORD)HookFn;
   }
}
 
 
         最后就是还原内存属性。
 
 
VirtualProtect( pIAT, sizeof(PVOID) * cFuncs, flOldProtect, &flDontCare);
 
 
         第二步
         在CreateInterface方法内部,通过把我们的CreateDevice函数指针注入到虚函数表(Vtbl)中,就可以挂钩到COM接口内部,而虚函数表则由返回的ppvOut指针得到。
 
 
 DirectInput8Create_Type OldFn =
      (DirectInput8Create_Type)D3DHook.Functions[D3DFN_DirectInput8Create].OrigFn;
    HRESULT hr = OldFn( hinst, dwVersion, riidltf, ppvOut, punkOuter );
 
 
         解析此指针,直到找到指向虚函数表接口的指针,而在这个地址上,需要再次移除内存保护,以便注入自己的函数到表中,并且保存原函数指针。
         接下来,把我们自己的函数指针注入到虚函数表接口内CreateDevice函数指针的偏移量上,并还原内存保护。
         可以看到,CreateDevice是DirectInput接口的第4个方法,这意味着其在虚函数表内的偏移量为0x0C(指针乘3)
 
 
typedef struct IDirectInput *LPDIRECTINPUT;
 
#if !defined(__cplusplus) || defined(CINTERFACE)
#define IDirectInput_QueryInterface(p,a,b) (p)->lpVtbl->QueryInterface(p,a,b)
#define IDirectInput_AddRef(p) (p)->lpVtbl->AddRef(p)
#define IDirectInput_Release(p) (p)->lpVtbl->Release(p)
#define IDirectInput_CreateDevice(p,a,b,c) (p)->lpVtbl->CreateDevice(p,a,b,c)
#define IDirectInput_EnumDevices(p,a,b,c,d) (p)->lpVtbl->EnumDevices(p,a,b,c,d)
#define IDirectInput_GetDeviceStatus(p,a) (p)->lpVtbl->GetDeviceStatus(p,a)
#define IDirectInput_RunControlPanel(p,a,b) (p)->lpVtbl->RunControlPanel(p,a,b)
#define IDirectInput_Initialize(p,a,b) (p)->lpVtbl->Initialize(p,a,b)
#else
#define IDirectInput_QueryInterface(p,a,b) (p)->QueryInterface(a,b)
#define IDirectInput_AddRef(p) (p)->AddRef()
#define IDirectInput_Release(p) (p)->Release()
#define IDirectInput_CreateDevice(p,a,b,c) (p)->CreateDevice(a,b,c)
#define IDirectInput_EnumDevices(p,a,b,c,d) (p)->EnumDevices(a,b,c,d)
#define IDirectInput_GetDeviceStatus(p,a) (p)->GetDeviceStatus(a)
#define IDirectInput_RunControlPanel(p,a,b) (p)->RunControlPanel(a,b)
#define IDirectInput_Initialize(p,a,b) (p)->Initialize(a,b)
#endif
 
 
         在知道从何处注入之后,下面就要考虑如何实现了。可以查看CreateDevice在dinput.h头文件中的声明,会发现它与DirectX Help中的并不匹配。
 
 
HRESULT CreateDevice(
 
    REFGUID rguid,
    LPDIRECTINPUTDEVICE *lplpDirectInputDevice,
    LPUNKNOWN pUnkOuter
);
 
 
         这是它在dinput.h头文件中的定义,所以我们必须添加第四个参数,其为接口指针,下面是完整的函数声明:
 
 
HRESULT __stdcall    PASCAL MyCreateDevice(LPVOID *ppvOut,REFGUID rguid,
    LPDIRECTINPUTDEVICE *lplpDirectInputDevice,
    LPUNKNOWN pUnkOuter
 
 
         另外有一点非常重要,必须在声明中使用 __stdcall调用约定。__stdcall调用约定常用于调用Win32 API函数,被调用者负责清理堆栈;而__cdecl则是C和C++程序的默认调用约定,由调用者来负责清理堆栈,这可不是我们想要的。
         当查看此调用的反汇编时,会看到堆栈指针验证函数 _RTC_CheckEsp在对接口函数调用之后被调用。
 
 
if (lpdi->CreateDevice(GUID_SysKeyboard, &lpdikey, NULL)!=DI_OK)
00401365 mov          esi,esp
00401367 push         0   
00401369 push         offset lpdikey (4552C8h)
0040136E push         offset _GUID_SysKeyboard (44643Ch)
00401373 mov          eax,dword ptr [lpdi (4552C4h)]
00401378 mov          ecx,dword ptr [eax]
0040137A mov          edx,dword ptr [lpdi (4552C4h)]
00401380 push         edx 
00401381 mov          eax,dword ptr [ecx+0Ch]
00401384 call         eax 
00401386 cmp          esi,esp
00401388 call         _RTC_CheckEsp (4026A0h)
0040138D test         eax,eax
0040138F je           Game_Init+78h (401398h)
   return(0);
00401391 xor          eax,eax
00401393 jmp          Game_Init+107h (401427h)
 
//设置协作级
if (lpdikey->SetCooperativeLevel(main_window_handle,DDSCL_NORMAL);
 
 
         如果忘了把函数声明为 __stdcall,函数也会正常工作,但是esp指针测试将会失败,因为其会设置eax,并在函数调用之后对它进行测试。
 
 
         第三步
         现在,当创建设备时,调用会重定向到我们的CreateDevice函数中。另外,在我们调用原始函数之后,会在lplpDirectInputDevice中得到一个新的指针,它可以把我们直接带到设备的虚函数表中。
 
 
HRESULT hr = OldCreateDev(ppvOut,rguid,lplpDirectInputDevice,pUnkOuter);
 
 
         比如说,我们要替换GetDeviceState这个函数,为得到它的偏移量,必须在DInput.dll内部查找其定义,可以看到它是第10个方法,所以偏移量为0x24。知道了偏移量,按照第二步中介绍的步骤:移除内存保护、保存原始指针、注入自己的函数、还原内存保护,一气呵成。
 
xieqidong
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
DXInput来做的键盘HOOK的软件源码
04-09
DXInput来做的键盘HOOKVB很实用的源码,精心挑选的精品源码
Hook DirectInput->CreateDevice->GetDeviceData解决方案
xuq09的专栏
06-29 2815
已解决,来人散分了,Hook DirectInput->CreateDevice->GetDeviceData 在一款使用DirectInput的3D游戏里面,通过Hook DirectInput8Create函数,CreateDevice方法,取得了GetDeviceData函数指针,在GetDeviceData里面已经可以取得键盘输入的数据(程序未使用GetDeviceSta...
Windows Hook经验总结之四:COM组件Hook原理及实践
ITer之家
11-17 4947
前面已经介绍过APIhook方法及具体实践,本文则讲述COM组件的Hook方式。COM组件可简单理解为一个二进制可执行程序或DLL,内部包含一系列的接口和函数。Hook COM本质上也是进行函数地址切换,让它跳到我们自定义的函数执行我们想要的功能。但这一切同样是发生在系统架构下,自定义函数的执行时机不由我们触发。
DirectX Input 键盘实现
zgl7903的专栏
02-01 4025
// DInputKeyboard.h: interface for the CDInputKeyboard class.////////////////////////////////////////////////////////////////////////#pragma once#define DIRECTINPUT_VERSION 0x800#include
APIHOOK钩子截获DirectX api游戏开发函数调用.zip
03-28
在游戏开发中,APIHOOK通常用于拦截系统级别的DirectX API,因为DirectX是许多游戏使用的主要图形和多媒体接口DirectX是由微软开发的一组API,包括Direct3D、DirectInput、DirectSound等多个子组件,广泛应用于...
jui:DirectX11 挂钩,用于在 arma3 中执行您自己的图形管道处理
06-07
在ARMA3中,开发者和玩家有时需要对图形管道进行定制,以实现特殊效果或进行性能优化,这就需要用到DirectX11的挂钩技术。 DirectX11挂钩,简单来说,就是一种在不修改原始代码的情况下,能够拦截并控制DirectX11...
dxgkrnl_hook:C ++图形内核子系统挂钩
05-28
【dxgkrnl_hook:C++图形内核子系统挂钩】是一种技术,用于在Windows操作系统中对DirectX图形内核子系统(DXGKrnl)进行挂钩操作。这种技术主要用于调试、性能分析或特殊功能实现,比如在本例中提到的“播放器盒视频...
DX9LoggerImGui:dx9记录器imgui hack
05-25
DX9Hack部分涉及到的是对DirectX 9的底层操作,这通常包括挂钩技术。挂钩是一种技术,通过在函数调用前后插入自定义代码来监控或修改函数的行为。在这里,DX9LoggerImGui可能使用了API挂钩,例如Detours或EasyHook,...
ninjaripper
07-25
它们可能包含了内存注入或者游戏接口挂钩的技术,使得Ninja Ripper能够读取和提取游戏数据。 4. NinjaRipper.exe:这是Ninja Ripper的主要可执行程序文件,用户通过运行这个文件启动模型提取工具。 5. ripdump.exe...
hook COM接口 挂钩
03-30
环境:VS2008 语言:C++ 关于hookCOM接口的代码网上不多 结合自己找来的资料 写了一个简单demo 有兴趣的人 也可以参考OBS的游戏捕获实现 (传送:https://obsproject.com/)
国外大牛写的HOOK
11-01
国外大牛写的HOOK技术的程序,可以完成HOOK功能
COM
SejWsyzxxn的博客
11-26 1362
转载的
xp下对dinput8.dll 游戏键盘输入的模拟 非函数hook
kylixfire的专栏
06-09 8342
    很多游戏或者3d模拟软件为了更好的支持外设使用directinput作为输入接口调用。那么如果要模拟鼠标或键盘来控制游戏或者3d软件进行自动作业如何才能做到呢?我研究了键盘部分。鼠标应该以此推入手模块:dinput8.dll 使用软件:idapro5.0,ollydbg,C32asm思路是这样的。在进行dinput编程的时候有一个循环查询状态的处理。被调用的函数为CKbd_Get
如何分析解决COM接口IFileOperation的hook去支持vista、win7、win8、win10 x86 x64系统
浪子_三少(邮箱:basketwill@qq.com)
08-03 4055
怎么进行COM接口IFileOperation hook我就不讲了,下面这个链接有讲解, http://blog.csdn.net/wzsy/article/details/17665311 ; 他的hook方法我实验了可用于win8、win10,包括x64位系统,但是他这个有个缺点是在获取源复制文件路径信息的时候,只适用于win7,不适用于win8、win10. 上面那个文章用的是
COM Hook原理
it_fly的专栏
08-05 5280
 掌握C++对象模型底层知识的人都知道,C++利用虚函数的机制来实现运行期的多态。例如一个申明如下:class A{public:A(){}~A(){}virtual void f1(){ printf("Founction f1 called"); }virtual void f2(){ printf("Founction f2 called"); }vir
Hook虚函数到HOOK COM API
linlin003的专栏
10-10 1066
// HookVtable.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <iostream> #include <memory.h> #include <windows.h> using namespace std; ...
Detour Hook COM成员函数present和Hook 成员函数
weixin_30709809的博客
09-06 355
void * pPresent=NULL;//IDirect3DDevice9::Present函数地址指针 pPresent=(void*)*(DWORD*)(*(DWORD*)Device+0x44);//IDirect3DDevice9* Device DetourTransactionBegin(); DetourUpdateThread(GetCurrentT...
COM HOOK的原理
UUcall007的专栏
07-23 1006
<br />主要思想是改虚函数表,代码不长, 很容易看懂.嘿嘿.学了不少东西<br />#include <iostream.h> #include <windows.h> class mytest { public: mytest() { ZeroMemory(&mbi,sizeof(mbi)); dwOldProtect = 0; } ~mytest() { }; virtual fun1() { cout<<"fun1 called
这对DirectX的窗口没有效果吧
最新发布
06-06
是的,对于使用DirectX等图形库创建的窗口,使用`SetWindowPos`、`SetActiveWindow`和`SetForegroundWindow`等函数可能无法正常激活窗口。这是因为使用图形库创建的窗口通常具有特殊的窗口样式和行为,这些函数无法直接操作这些样式和行为。 针对这种情况,您可以尝试使用Windows API函数`AttachThreadInput`和`SetFocus`来实现激活窗口并使其获得焦点的操作。具体实现方式如下: ```python import win32gui import win32con import win32api # 获取要激活的窗口句柄 hwnd = win32gui.FindWindow(None, "窗口标题") if hwnd > 0: # 将窗口激活到前台 win32gui.SetForegroundWindow(hwnd) # 激活窗口所在线程 thread_id = win32api.GetWindowThreadProcessId(hwnd)[0] current_thread_id = win32api.GetCurrentThreadId() win32api.AttachThreadInput(current_thread_id, thread_id, True) # 设置窗口为活动窗口并将焦点置于窗口上 win32gui.SetFocus(hwnd) win32gui.SetActiveWindow(hwnd) win32gui.SetForegroundWindow(hwnd) # 恢复线程输入关联 win32api.AttachThreadInput(current_thread_id, thread_id, False) else: print("未找到指定窗口!") ``` 该方法的原理是首先将窗口激活到前台,然后激活窗口所在线程并将窗口置为活动窗口,最后将焦点置于窗口上。需要注意的是,该方法也可能会受到系统或窗口的限制,无法保证在所有情况下都能成功激活窗口并让其获得焦点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值