记一次挂钩经历

@BruceYan@

已于 2023-01-18 11:50:01 修改

阅读量156

点赞数

分类专栏： IDA 文章标签： IDA 反汇编 detours c++ 汇编

于 2022-11-06 00:39:00 首次发布

本文链接：https://blog.csdn.net/yyan/article/details/128703473

版权

IDA 专栏收录该内容

1 篇文章 0 订阅

订阅专栏

工作中遇到个问题：需要在没有代码的情况下禁用某软件的一个功能。该软件为Windows软件。

接到任务后，先理下思路：

没有源码的情况下肯定需要反汇编，那少不了要用到神器IDA。
定位具体函数。如果目标模块有符号的话，则会大大提升定位的效率，如果没有则只能一点点分析，缩小范围了。
定位了具体函数后，就需要在目标进程中找到该函数并将其替换成自己的函数。
这将会用到注入和挂钩技术，现在已经有很成熟的Detour了，所以这步应该不难。

这几个过程里最耗时的是步骤2，如果目标模块没有符号，那任务将更加艰巨。

好了，开始干活。

1. 由于要禁用的功能是从界面事件激发的，所以考虑先从界面模块入手。但是经过分析发现目标软件的界面库是一套自绘界面库，并没用到任何Windows系统控件，所以放弃，转为从功能模块的dll入手。

2. 用IDA打开目标模块，如果目标模块包含了符号，那么在 Functions Window中看到的是真实的函数名，如图：

并且在IDA View窗口，会看到很多友好的注释和函数名，帮助你分析汇编代码，如图：

很悲催，我看到的是这样的：

表明目标模块中没有符号。

3. 无奈只能想办法缩小范围了。通过以下几种方法分析软件的行为

使用ProcessMonitor分析软件的行为。这个软件可以监测软件读写注册表、文件、网络等信息。是微软官方的工具。
使用ProcessExplorer动态分析线程和堆栈信息，这也是微软官方的工具。如果直接用IDA调试的话，可以不用这个。
使用IDA不断调试来验证自己的想法。

经过长时间的分析，最终发现在该软件设置界面启用目标功能时，该软件会向系统的AppData目录下写一个配置文件。在IDA里搜索该配置文件的文件名，找到了几处可疑的地方。这下就简单了，在可疑的地方打上断点，用IDA调试。最终确定的函数如下：

push    ebp
mov     ebp, esp
mov     ecx, [ecx+7Ch]
push    [ebp+8]
add     ecx, 0B10h
push    ecx
mov     eax, [ecx]
mov     edx, [eax+24h]
mov     eax, esp
push    1
mov     dword ptr [eax], 7A98DDFCh
call    edx
pop     ebp
retn    4

该函数的字节码如下：

55 8B EC 8B 49 7C FF 75 08 81 C1 10 0B 00 00 51 8B 01 8B 50 24 8B C4 6A 01 C7 00 FC DD 98 7A FF D2 5D C2 04

4. 接下来，在自己的模块中实现搜索字节码的功能。一个开源库的简单实现：

/* Scan for the signature in memory then return the starting position's address */
void* CSigScan::FindSignature(void) noexcept {
    const unsigned char *pBasePtr = base_addr;
    const unsigned char *pEndPtr = base_addr+base_len;
    size_t i = 0;
 
    while(pBasePtr < pEndPtr) {
        for(i = 0;i < sig_len;i++) {
            if((sig_mask[i] != '?') && (sig_str[i] != pBasePtr[i]))
                break;
        }
 
        // If 'i' reached the end, we know we have a match!
        if(i == sig_len)
            return (void*)pBasePtr;
 
        pBasePtr++;
    }
 
    return nullptr;
}

其中的sig_str就是字节码，sig_mask为占位符，类似这样 "xxxxxxxxxx???xxxxx", 其中 x 为要搜索的字节，? 为忽略字节。
本以为会很顺利，结果打脸，没搜到。反复检查发现，由于目标进程加载了我的注入模块，改变了后续模块的加载地址，这导致模块中一些常量字串的地址发生了偏移，所以我们需要忽略这函数中引用的常量地址。就是这句

mov     dword ptr [eax], 7A98DDFCh

这句中的 7A98DDFCh 是常量地址，对应字节码倒数第9 ~ 倒数第6 字节。

FC DD 98 7A

我们在搜索时忽略这4个字节就成了。

5. 讲下注入。注入的方法有很多。比如：CreateRemoteThreadEx，SetWindowsHookEx 等。而我采用了 DetourCreateProcessWithDllExW 方案。这条函数虽然会启动目标进程，但这样做有个好处，可以在所有其它模块执行前加载你的模块。

6. 替换目标函数。使用Detour很简单就实现了。

DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourAttach(m_fnOld, m_fnReplacement);
DetourTransactionCommit();

在替换时，如果目标函数是一个类的成员函数，还需要些小技巧。类成员的调用方式为 __thiscall。而vc不允许我们定义__thiscall，否则编译会报错：

error C3865: '__thiscall' : can only be used on native member functions

我们可以定义一个 __fastcall 调用方式的函数来替换 __thiscall 。由于__thiscall 默认用 ECX传递this指针作为第一个参数，而__fastcall默认用 ECX, EDX传递前两个参数，所以我们在定义时要多定义一个没用的参数，像下面这样：

typedef int (__thiscall *myFooPtr)( void* , unsigned int, unsigned int); 
char* __fastcall myFoo( void* This, void* notUsed , unsigned int firstParam, 
unsigned int secondParam) { }

可以看到我们定义的 __fastcall 函数，比声明的原函数类型多一个 notUsed参数。我的函数的实现很简单，将传入的int类型参数直接改为 0 并传入原始函数就成了。

终于实现了既定目标，看了看键盘上掉落的头发，我心里些许有些安慰。。。😂