看了hook API 的原理,其中包括inline hook,原理如下:
自己写个hook的小测试,测试hook MessageBox 这个API。
首先写一个只调用MessageBox的小程序,小程序代码如下
.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
.data
szText db 'HelloWord',0
.code
start:
invoke MessageBox,NULL,addr szText,NULL,MB_OK
invoke ExitProcess,NULL
end start
用ollydbg 跟踪下这个helloworld的小程序
按F7步入MessageBoxA
可以看到 MessageBox 的入口地址为 77d507EA,入口的前5个字节汇编为: MOV EDI,EDI PUSH EBP MOV EBP,ESP,根据原理可以把这5个字节的内容修改成跳转指令,跳转到我们自己编写的函数地址,就能实现 hook MessageBox了。
代码实现如下:
第一步先要获得MessageBox的入口地址,
,其中hUser32保存句柄,pMessageBox保存MessageBox的地址,变量的定义如下:,因为要改写MessageBox的前5字节的内容,而MessageBox入口地址的内存属性为执行只读,需先修改内存属性为执行读写,
内存属性修改后就可以改写入口地址前5字节的内容了,改写如下:
,需要说明下跳转指令jmp XXXX,jmp的16进制为e9,所以jmp指令可以写成16进制 e9XXXX,其中XXXX的跳转地址为4个字节的偏移地址,上面的 sub ebx,eax,ebx为_NewMessageBox到 MessageBox的偏移地址,jmp指令本省要占用5个字节,所以偏移地址相应的-5,sub ebx,5,把算到e9+偏移地址写到原MessageBox的前5个字节。
其中的_NewMessageBox是要跳转的地址
,这里只是修改了messageBox的第二个参数,把原本弹出框的内容“hello world”改为“hooktest”,后5个字节的内容到时候要修改为跳转到原MessageBox入口地址+5个字节,所以先写了db 0e9h,00,00,00,00,到时候把地址修改为到MessageBox入口地址+5个字节的偏移地址
,就基本完成hook messageBox了
完整代码为
,运行程序
可以看到原来弹出框的内容hello world 被修改成了 hooktest,说明hook成功