LstrcmpAPI函数Hook技术逆向分析
API Hook技术简介
API Hook通过修改API函数的起始地址,使之跳转到自己定义的函数,通过自己定义的函数实现自己想要实现的功能
API Hook实现的过程如下:
- 获取API函数的地址
- 修改API函数起始地址的字节,使之跳转到自己定义的函数
- 在自己定义的函数中实现unhook(脱钩),恢复原API起始地址处字节
- 执行自定义的代码以及原API函数,再次hook该API函数,便于下次拦截,最后返回
这次以一个对Lstrcmp函数的Hook的程序进行分析
程序逆向分析
在IDA中打开这个程序
按快捷键F5将汇编代码变成C伪代码
下面逐行分析这段代码
21 栈的初始化
22~25 定义一堆乱七八糟的变量,其中v13和dst是一个数组中的变量,分别代表第0字节和第1字节
26 将字符串"real_pwd"的值赋给Str
27 将kernel32.dll的句柄赋值给hModule
28 将函数名为lstrcmp的函数的起始地址赋值给v18
29 将v18的值赋值给变量lpAddress
30~37 首先改变了v18地址处的可读可写可执行属性,然后将lstrcmp函数的地址放到全局变量pOrgByte当中
然后将Mylstrcmp函数和lstrcmp函数的偏移量放到src变量当中
然后将