DLL劫持并使用MinHook

原创 已于 2024-11-03 20:06:23 修改 · 890 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++

于 2024-11-03 20:05:05 首次发布

首发于Enaium的个人博客

测试用例

首先我使用CLion写了一个简单的程序,这个程序会加载一个dinput8.dll,然后调用一个函数显示一段文字,然后等待用户按下任意键。这个程序的代码如下:

#include<windows.h>
#include<iostream>


int display(const char *text) {
    std::cout << text << std::endl;
    std::cout << "Press any key to continue..." << std::endl;
    std::cin.ignore();
    return 0;
}

int main() {
    LoadLibrary("dinput8.dll");
    printf("Address: %p\n", display);
    display("Hello World!");
}

我们所做的就是 Hook 这个display函数,然后在这个函数被调用时,将这个文字改为另一个文字。之后将项目进行编译,别忘了在CMakeLists.txt中添加set(CMAKE_EXE_LINKER_FLAGS "-static"),这样我们就可以得到一个静态链接的可执行文件。之后我们就可以开始 Hook 这个函数了。

DLL 劫持

首先我们需要了解一下 DLL 的加载机制,Windows 系统在加载 DLL 时,会按照一定的顺序搜索 DLL 文件,如果找到了就加载,如果没有找到就会报错。这个顺序是怎么样的呢?我们可以通过查看官方文档来了解。简单来说就是首先搜索应用程序目录,然后搜索系统目录,最后搜索环境变量中指定的路径。所以我们可以使用这个机制来劫持 DLL。

包装 DLL

上面我们知道了 DLL 的加载机制,那么我们就可以知道如何让程序加载我们自己的 DLL,加载我们的 DLL 后,我们需要让这个 DLL 也拥有原 DLL 的功能,这里我们需要对原 DLL 进行包装。我们可以使用wrap_dll这个工具来包装 DLL。这是个Python脚本,所以你必须安装了Python,之后这个脚本还需要dumpbin.exeundname.exe这两个工具,这两个工具是 Visual Studio 自带的,所以你需要安装了Visual Studio,并且需要将C:\Program Files\Microsoft Visual Studio\2022\Community\VC\Tools\MSVC\14.40.33807\bin\Hostx64\x64设置到环境变量中。之后你就可以使用这个脚本了。

python .\wrap_dll.py "C:\Windows\System32\dinput8.dll"

运行完成这个条命令后,你会得到一个dinput8项目,这个就是我们包装的 DLL。我们可以先把项目中的empty.hhook_macro.h给删掉,这两个文件对我们没有用。

MinHook

MinHook 是一个轻量级的钩子库,可以用来 Hook 函数。我们可以在minhook下载到这个库。下载完成后我们在 dinput8 这个项目中新建一个文件夹MinHook,然后将 MinHook 的include文件夹和src文件夹复制到这个文件夹中。之后我们在CMakeLists.txt中添加这个库。

ADD_LIBRARY(
    dinput8
    SHARED
    dinput8_asm.asm
    dinput8.cpp
    dinput8.def
    MinHook/include/MinHook.h
    MinHook/src/hde/hde32.c
    MinHook/src/hde/hde32.h
    MinHook/src/hde/hde64.c
    MinHook/src/hde/hde64.h
    MinHook/src/hde/pstdint.h
    MinHook/src/hde/table32.h
    MinHook/src/hde/table64.h
    MinHook/src/buffer.c
    MinHook/src/buffer.h
    MinHook/src/hook.c
    MinHook/src/trampoline.c
    MinHook/src/trampoline.h
)

之后我们就可以开始 Hook 这个函数了。

Hook 函数

首先我们需要再项目中执行cmake .,之后会生成一个Visual Studio的项目,我们使用Visual Studio打开这个项目,这里需要注意一下,需要通过打开解决方案的方式打开这个项目,不要直接打开这个项目文件夹。之后我们打开dinput8.cpp,删掉_hook_setup这个函数,接着我们需要将加载库的地址改为系统的LoadLibrary函数,这样我们就可以加载原 DLL 了。之后我们就可以开始 Hook 这个函数了。

#include <windows.h>
#include <stdio.h>

HINSTANCE mHinst = 0, mHinstDLL = 0;

extern "C" UINT_PTR mProcs[6] = {0};

LPCSTR mImportNames[] = {
  "DirectInput8Create",
  "DllCanUnloadNow",
  "DllGetClassObject",
  "DllRegisterServer",
  "DllUnregisterServer",
  "GetdfDIJoystick",
};

#ifndef _DEBUG
inline void log_info(const char* info) {
}
#else
FILE* debug;
inline void log_info(const char* info) {
  fprintf(debug, "%s\n", info);
  fflush(debug);
}
#endif

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) {
  mHinst = hinstDLL;
  if (fdwReason == DLL_PROCESS_ATTACH) {
    mHinstDLL = LoadLibrary("C:/Windows/System32/dinput8.dll");
    if (!mHinstDLL) {
      return FALSE;
    }
    for (int i = 0; i < 6; ++i) {
      mProcs[i] = (UINT_PTR)GetProcAddress(mHinstDLL, mImportNames[i]);
    }

#ifdef _DEBUG
    debug = fopen("./debug.log", "a");
#endif
  } else if (fdwReason == DLL_PROCESS_DETACH) {
#ifdef _DEBUG
    fclose(debug);
#endif
    FreeLibrary(mHinstDLL);
  }
  return TRUE;
}

extern "C" void DirectInput8Create_wrapper();
extern "C" void DllCanUnloadNow_wrapper();
extern "C" void DllGetClassObject_wrapper();
extern "C" void DllRegisterServer_wrapper();
extern "C" void DllUnregisterServer_wrapper();
extern "C" void GetdfDIJoystick_wrapper();

接着我们可以在当fdwReason等于DLL_PROCESS_ATTACH时,也就是当 DLL 被加载时,我们进行 Hook。

首先我们需要编写一个原函数的函数指针,这个函数指针的类型需要和原函数的类型一样,这里我们使用typedef来定义这个函数指针。

typedef int (*display_t)(const char*);

之后我们需要定义一个函数指针,这个函数指针用来指向我们 Hook 后的函数。

display_t display = nullptr;

之后我们创建一个Hook函数,这个函数的参数和返回值都需要和原函数一样。

int display_hook(const char *text) {
    return display("Hello MinHook!");
}

最后我们使用MinHookHook这个函数。

首先我们需要初始化MinHook,之后使用MH_CreateHook来创建一个 Hook,传入原函数的地址,Hook 函数的地址,和一个函数指针的指针,之后我们就可以使用MH_EnableHook来启用这个 Hook 了。

MH_Initialize();
MH_CreateHook((LPVOID)0x00007ff62fb51634, &display_hook, reinterpret_cast<LPVOID*>(&display));
MH_EnableHook(nullptr);

这里的0x00007ff62fb51634是我们运行这个测试程序后得到的display函数的地址,你可以通过打印这个函数的地址来得到这个地址。除了这个方法我们还可以使用x64dbg这个工具来得到这个地址。

我们打开x64dbg通过符号切换到这个程序,之后使用字符串搜索Hello World!,之后我们找到call这个指令,然后我们就可以得到这个函数的地址了。

20241103121643
在这里插入图片描述

20241103122021

之后编译我们的项目,然后将生成的 DLL 放到我们的测试程序的目录下,之后我们就可以运行这个程序了。

20241103122428

项目地址: dll-hijack-minhook

浅谈红队攻防之道-DLL注入上线cs
应无所住而生其心
06-28 811
等我熬过这一段狼狈,一个人尝尽孤独的滋味,我会笑着与这个世界和解
MinHook-简约的x86 / x64 API挂钩库
04-11
为x64 / x86环境提供Microsoft Detours功能的基本部分。
[C++调试技巧] MinHook 介绍|文档|例子
八宝咸鱼
12-22 6000
MinHook是一个基于微软Detours的一个可移植Hook库,它使用了内存污染和跳转技术来实现Hook.通过使用MinHook,你可以在不需要修改原来函数代码的情况下,运行时更改函数定义.这对于调试,测试,以及在其他程序中注入自己的代码都非常有用.使用MinHook来挂钩函数,即使这些函数是由编译器优化过的,MinHook也可以在不修改原来代码的情况下Hook.这使得MinHook特别适合用于对受保护函数进行Hook但是它也有一些限制。
MinHook - 在简约的x86/x64 API挂接库
06-20
这个软件的基本概念是一样的微软的Detours和丹尼尔Pistelli的钩引擎。它取代了使用x86的JMP(无条件跳转)指令到迂回功能目标函数的序幕。它的安全,稳定和行之有效的方法。
使用minhook
kangkangailin的博客
08-09 1385
minhook使用
MinHook库的使用 64位下,过滤LoadLibraryExW
weixin_30815427的博客
05-03 624
目录 一丶简介 1.minHook库的下载以及安装. 二丶使用MinHook库,过滤LoadLibraryExW 2.1编写X64测试程序. 2.2使用MinHook库 2.3完整HOOK代码 Mi...
现在系统system32下自带kernel32.dll,python需要调用的dll同文件夹也有kernel32.dll,请问怎么让python使用同文件夹下的kernel32.dll而不是系统的kernel32.dll
03-15
根据微软文档,KnownDLLs的设计是为了防止DLL劫持攻击,因此系统会强制加载系统目录中的版本,无法通过常规方法覆盖。这意味着即使用户把kernel32.dll放在同目录,也无法替换系统的版本,因为这是被系统安全机制限制...
根据C:\gkoudai\口袋贵金属.exe软件,在GkoudaiDataCollector.py编写使用DirectX钩子技术(D3D11的hook)来自动获取口袋贵金属.exe进程和窗口句柄为00050412(Intermediate D3D Window)中的的卖价、买价格和交易量的代码实时显示在程序面板上的优化以下方案:口袋贵金属.exe 行情数据采集方案(DirectX Hook 实现) 核心思路:通过注入 DLL 挂钩目标进程的 D3D 渲染管线(优先 D3D9,兼容主流桌面应用),拦截绘制调用后解析显存/绘制数据中的行情字段,实时回显到面板。 一、开发环境 - 语言:Python 3.8+(主面板)+ C++ 17(D3D Hook DLL,Python 无法直接实现底层挂钩) - 依赖: - Python: pywin32 (进程/窗口操作)、 PyQt5 (实时面板)、 ctypes (调用 DLL) - C++:DirectX SDK(D3D11 库)、MinHook(挂钩框架)、Detours(备选挂钩库) 二、核心实现步骤(分模块) 1. Python 主程序(GkoudaiDataCollector.py) 负责进程注入、窗口句柄绑定、数据接收和面板显示: 2. C++ D3D Hook DLL(核心逻辑) 负责注入进程、挂钩 D3D 绘制函数(如  EndScene )、解析行情数据: 三、关键说明 1. D3D 版本适配:优先 D3D9(口袋贵金属这类桌面软件常用),若检测到 D3D10/11,需替换对应接口(如  ID3D11DeviceContext::Present )。 2. 数据解析优化:示例中用正则解析显存文本,实际需用 Spy++ 抓取行情控件的坐标/文本格式,或通过 D3D 绘制对象遍历(更精准)。 3. 注入安全:需关闭目标软件的反作弊(若有),否则注入可能被拦截;建议以管理员权限运行采集程序。 4. 稳定性:Hook 可能导致目标软件崩溃,需添加异常捕获和资源释放逻辑。 四、编译与运行步骤 1. 编译 C++ DLL:用 Visual Studio 配置 DirectX SDK 和 MinHook,编译为 32/64 位 DLL(匹配目标软件架构)。 2. 放置 DLL 与 Python 脚本同目录,运行  GkoudaiDataCollector.py (需管理员权限)。 3. 确保口袋贵金属.exe 已启动,且窗口句柄为  0x00050412 (若句柄变化,需在 Python 中添加窗口查找逻辑)。
最新发布
11-11
使用C++编写一个DLL,该DLL使用MinHook挂钩DirectX 11的Present函数(因为目标窗口是D3D11的Intermediate Window)。 2. 在Present函数被调用时,获取后台缓冲区(back buffer)的数据,然后将其转换为位图,再...
从nvwgf2umx.dll入手:探究用户态渲染线程与GPU的通信路径机制
![从nvwgf2umx.dll入手:探究用户态渲染线程与GPU的通信路径机制]...深入剖析GPU命令执行流程中的引擎调度、虚拟地址映射与中断反馈闭环,结合性能测
使用Command Buffer注入UI模糊:底层渲染流程干预的4大秘技
# 图形渲染中的UI模糊注入技术:从底层机制到工程化落地 在现代图形应用中,视觉体验的细腻程度往往决定了产品的第一印象。你有没有注意到,当你打开一个弹窗时,背景会呈现出一种朦胧的“毛玻璃”质感?...
使用MinHook进行APIHook
qq_38493448的博客
01-21 6127
文章目录一、Hook概述1.1 什么是Hook1.2 什么是APIHook1.3 Hook过程理解二、Hook分类2.0 分类概述2.1 Address Hook2.2 Inline Hook2.3 基于异常处理的Hook三、MinHook库介绍3.1 MinHook代码3.2 头文件定义中文说明:四、Hook实现过程 一、Hook概述 1.1 什么是Hook “Hook” 翻译过来的意思是“挂钩” “钩子”,在程序执行的时候,在适当的位置对程序运行流程进行监控、拦截即为Hook技术。 1.2 什么是API
minhook
x-2010的笔记
09-12 1374
它是最小化的Windows x86/x64的API钩子库,github地址。 它能够重写目标函数。以下是最常用的一个实例,在此是以VS2013 Release Win32的格式编译它,需先编译好MinHook VC12的工程,得到libMinHook.x86.lib,再连接到此工程中: // test.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h"
32/64 MinHook 库的使用方式
LYSHARK
09-11 8770
在上面的各种Hook挂钩方式中,我们都是在手写封装代码,但这样的方式不高效,真正的生产环境中我们必须使用现成的Hook库,常用的Hook库有免费开源的MinHook和商业的Detours Hook,这里我们就选择介绍MinHook这个迷你函数库,该Hook库是完全开源免费的,使用起来也非常的简单.函数,我们可以Hook这个函数来拦截程序创建文件,此方法可用于对抗恶意代码,一些杀软也会通过挂钩该函数实现监控系统文件的创建.进程中,即可监控系统的进程创建,在其中可以做查杀检测等,即可实现简单的主动防御.
minhook探究
pureman_mega的博客
06-05 1021
在接口的设计,hook的兼容性等方面,还是值得我们初学者解决的。熟悉inline hook的,在阅读了minhook的代码之后就会发现,它也是用的这种hook方法。紧接着是一个jmp指令,但是跳转的地址看起来有点不对,实际上是反汇编引擎解析有误,从源码中可以知道这里实际上是跳转到一个绝对地址(0xff,0x25,0x000000,0x7fff05fa4175),也就是CreateFileA第二条指令开始的地方(0x7fff05fa4175)。总的来说还是好用的。
[Windows Hook]MinHook库的使用方式
CodeBowl的博客
10-16 7112
MinHook就是通过Inline Hook实现的,通过生成库文件,在我们的项目中包含头文件以及对应库文件就可以实现Hook。 学习一个库,先学习怎么用,然后再阅读源码学习原理。
4.5 MinHook 挂钩技术
LYSHARK
09-18 6017
MinHook是一个轻量级的Hooking库,可以在运行时劫持函数调用。它支持钩子API函数和普通函数,且可以运行在32位和64位Windows操作系统上。其特点包括易于使用、高性能和低内存占用。MinHook使用纯汇编语言实现,在安装和卸载钩子时只需要短暂地锁定目标线程,因此对目标线程的影响非常小。
MinHook 项目教程
gitblog_00927的博客
10-11 506
MinHook 项目教程 1. 项目目录结构及介绍 MinHook 是一个用于 Windows 平台的 x86/x64 API Hooking 库,其目录结构如下: minhook/ ├── build/ │ ├── cmake/ │ └── dll_resources/ ├── include/ │ └── MinHook.h ├── src/ │ ├── buffer.c │ ...
MinHook 介绍
顺其自然~专栏
06-02 1613
MinHook是一个基于微软Detours的一个可移植Hook库,它使用了内存污染和跳转技术来实现Hook。通过使用MinHook,你可以在不需要修改原来函数代码的情况下,运行时更改函数定义。这对于调试、测试、以及在其他程序中注入自己的代码都非常有用。使用MinHook来挂钩函数,即使这些函数是由编译器优化过的,MinHook也可以在不修改原来代码的情况下Hook。这使得MinHook特别适合用于但是它也有一些限制当然,MinHook毕竟是,你只需要稍微处理一下,便可以保证兼容与稳定性。
MinHook:轻量级Windows API钩子库
gitblog_00066的博客
05-09 729
MinHook是一个专为Windows设计的最小化x86/x64 API钩子库。它以C语言编写,旨在减少内存占用和提高性能,同时保持代码简洁易读,便于维护。这个项目在CodeProject上发布,且持续更新,以支持最新的开发工具如Visual Studio和Windows SDK。 ### 项目技术分析 MinHook的核心功能是API钩子,允许开发者拦截系统或应用程序的特定函数调用,实现动...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Enaium

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值