本文介绍了API Hook的陷阱式方法,探讨了其在9X系统下的局限性和在Win2000/XP/Vista等系统的优势。通过创建Tjump结构,利用WriteProcessMemory修改API入口实现Hook。此外,文章还提出了解决HookAPI重入问题的思路,通过createfilemapping和CopyMemory处理,但只拷贝所需API代码的问题尚未解决。提供了部分Delphi实现的代码示例。
小弟最近研究API Hook,参考了许多资料,阅读了很多高手的文章之后终于做好了,颇有心得,写出来以免自己以后忘记
API HOOK主要由陷阱式和改引入表式,二者各有局限,改引入表式则复杂,需要一定的PE知识,他要遍历当前所有的模块,然后还要遍历模块中的IAT(引入地址表),看是否有对于某个函数的调用,而且还有两个问题:就是当前进程建立一个新的线程的时候,我们必须重新这个工作,而且,如果程序采用GetProcAddress函数来得到地址的话,我们的方法就没有用,所以还得钩住GetProcAddress函数,而陷阱式在9X系统下很难实现,因为Delphi不能像VC那样指定一个DLL加载的参考地址,因此需要用一些其他的很复杂的办法才能实现,但他的代码在win2000/XP/Vista下很简单,不管多少模块对他进行调用(一个DLL只会在进程中映象一次),也不管以后是否有新建立的线程有对它的调用,或者对方使用GetProcAddress函数,都不会需要我们使用更多的操作,因此,虽然丧失了一点兼容性,但我个人认为它比改引入表式更具优势。(具体见《Delphi深入下Windows核心编程》第10章,www.2ccc.com有下载,以及网友sundytu的文章http://www.blogcn.com/user35/sundytu/blog/21666280.html)
说说原理吧(只是我个人理解的,不一定正确,欢迎大家批评指正):
在调用一个API时,API的入口一般是这样的:
mov EAX,$1234 //$1234是我乱写的地址,函数的真正功能就从这里开始
jmp EAX
因此,我们只要能够把$1234该为我们自己编写的代替函数的地址就可以了,所以,我们定义一个这样的结构
Tjump=packed record
Mov:Byte;
addr:Dword;
JmpEAX:Word;
reservedbyte:Byte;//为了CPU的效率,所以补充一个直接来使整个结构为8字节
end;
然后用WriteProcessMemory来修改入口为我们的结构即可,当然修改前要记住保存原来的结构以便卸载钩子。
另外,陷阱式HookAPI有一个重入的问题,即同一时间有两个进程同
最低0.47元/天 解锁文章
2886
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
