WINAPI HOOK (修改前五个字节,JMP跳转法)

最新推荐文章于 2023-04-25 10:43:22 发布
最新推荐文章于 2023-04-25 10:43:22 发布
阅读量4.4k 收藏 4
点赞数
分类专栏: vcbcbdelphi的window编程 文章标签: hook winapi null api thread access
本文一介绍用修改API头五个字节的方法在Win2k下的使用。利用Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为: 
BOOL VirtualProtectEx( 
HANDLE hProcess, // 要修改内存的进程句柄 
LPVOID lpAddress, // 要修改内存的起始地址 
DWORD dwSize, // 修改内存的字节 
DWORD flNewProtect, // 修改后的内存属性 
PDWORD lpflOldProtect // 修改前的内存属性的地址 
); 
BOOL WriteProcessMemory( 
HANDLE hProcess, // 要写进程的句柄 
LPVOID lpBaseAddress, // 写内存的起始地址 
LPVOID lpBuffer, // 写入数据的地址 
DWORD nSize, // 要写的字节数 
LPDWORD lpNumberOfBytesWritten // 实际写入的子节数 
); 
BOOL ReadProcessMemory( 
HANDLE hProcess, // 要读进程的句柄 
LPCVOID lpBaseAddress, // 读内存的起始地址 
LPVOID lpBuffer, // 读入数据的地址 
DWORD nSize, // 要读入的字节数 
LPDWORD lpNumberOfBytesRead // 实际读入的子节数 
); 
具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间,这点又和Win9x/me存在所有进程存在共享的地址空间不同, 因此,必须通过钩子函数和远程注入进程的方法,这样,便能挂接所有进程的API了。现以一个简单采用钩子函数对MessageBoxA进行拦截例子来说明: 
其中Dll文件为: 
HHOOK g_hHook; 
HINSTANCE g_hinstDll; 
FARPROC pfMessageBoxA; 
int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType); 
BYTE OldMessageBoxACode[5],NewMessageBoxACode[5]; 
HMODULE hModule ; 
DWORD dwIdOld,dwIdNew; 
BOOL bHook=false; 
void HookOn(); 
void HookOff(); 
BOOL init(); 
LRESULT WINAPI MousHook(int nCode,WPARAM wParam,LPARAM lParam); 
BOOL APIENTRY DllMain( HANDLE hModule, 
DWORD ul_reason_for_call, 
LPVOID lpReserved 


switch (ul_reason_for_call) 

case DLL_PROCESS_ATTACH: 
if(!init()) 

MessageBoxA(NULL,"Init","ERROR",MB_OK); 
return(false); 

case DLL_THREAD_ATTACH: 
case DLL_THREAD_DETACH: 
case DLL_PROCESS_DETACH: 
if(bHook) UnintallHook(); 
break; 

return TRUE; 

LRESULT WINAPI Hook(int nCode,WPARAM wParam,LPARAM lParam)//空的钩子函数 


return(CallNextHookEx(g_hHook,nCode,wParam,lParam)); 

HOOKAPI2_API BOOL InstallHook()//输出安装空的钩子函数 

g_hinstDll=LoadLibrary("HookApi2.dll"); 
g_hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)Hook,g_hinstDll,0); 
if (!g_hHook) 

MessageBoxA(NULL,"SET ERROR","ERROR",MB_OK); 
return(false); 



return(true); 

HOOKAPI2_API BOOL UninstallHook()//输出御在钩子函数 


return(UnhookWindowsHookEx(g_hHook)); 


BOOL init()//初始化得到MessageBoxA的地址,并生成Jmp XXX(MyMessageBoxA)的跳转指令 

hModule=LoadLibrary("user32.dll"); 
pfMessageBoxA=GetProcAddress(hModule,"MessageBoxA"); 
if(pfMessageBoxA==NULL) 
return false; 
_asm 

lea edi,OldMessageBoxACode 
mov esi,pfMessageBoxA 
cld 
movsd 
movsb 

NewMessageBoxACode[0]=0xe9;//jmp MyMessageBoxA的相对地址的指令 
_asm 

lea eax,MyMessageBoxA 
mov ebx,pfMessageBoxA 
sub eax,ebx 
sub eax,5 
mov dword ptr [NewMessageBoxACode+1],eax 

dwIdNew=GetCurrentProcessId(); //得到所属进程的ID 
dwIdOld=dwIdNew; 
HookOn();//开始拦截 
return(true); 


int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption, UINT uType )//首先关闭拦截,然后才能调用被拦截的Api 函数 

int nReturn=0; 
HookOff(); 
nReturn=MessageBoxA(hWnd,"MessageBox已经被截获,呵呵!",lpCaption,uType); 
HookOn(); 
return(nReturn); 

void HookOn() 

HANDLE hProc; 
dwIdOld=dwIdNew; 
hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);//得到所属进程的句柄 
VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为可写 
WriteProcessMemory(hProc,pfMessageBoxA,NewMessageBoxACode,5,0);//将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA 
VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为原来的属性 
bHook=true; 

void HookOff()//将所属进程中JMP MyMessageBoxA的代码改为Jmp MessageBoxA 

HANDLE hProc; 
dwIdOld=dwIdNew; 
hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld); 
VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld); 
WriteProcessMemory(hProc,pfMessageBoxA,OldMessageBoxACode,5,0); 
VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld); 
bHook=false; 

//测试文件: 
int APIENTRY WinMain(HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow) 


if(!InstallHook()) 

MessageBoxA(NULL,"Hook Error!","Hook",MB_OK); 
return 1; 

MessageBoxA(NULL,"TEST","TEST",MB_OK);//可以看见TEST变成我们截获后的字符串了。而且是所有进程都被截获。
if(!UninstallHook()) 

MessageBoxA(NULL,"Uninstall Error!","Hook",MB_OK); 
return 1; 

return 0; 



以上程序在WIN2K,VC7.0下调试并通过

图片:


挂接前,直接调用MessageBox函数,效果如下:

按此在新窗口打开图片

APIHOOK挂接程序界面:

按此在新窗口打开图片

MessageBox被截获后的效果:(在不同进程实现)

在这里,我重新编制了一个简单的程序进行测试,直接调用MessageBox函数,出现以下画面,表明系统所有进程的MessageBox都被挂接成功。




 
软件安全之Hook 技术 Inline Hook技术应用 TraceMe.exe
SKPrimin的博客
12-12 3457
Hook 技术 实验须知 1实验说明 Hook 是在指令的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信息改变目标进程原本执行流程等目的。 2实验目的 本实验使用 Inline Hook 技术,挂钩 [raceMe.exe百度网盘地址(提取码1111)中计算序列号的代码,获取正确的序列号,加深对 Hook 技术的理解。 3实验原理 Hook Hook∶中文译作"挂钩"或"钩子",在指令执行的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
API函数头部HOOK
misterliwei的专栏
06-29 3856
二.API函数头部HOOK   本方通过改变API函数的头部字节以达到HOOK的目的。 1.  技术与实现 每个程序中需要使用到的API函数的地址都放在IAT上,通过这个地址,每个CALL能正确的到达函数的头部。其流程如下图所示: 我们的截获工作就是在这个头部的位置——我们用一个JMP指令替换掉在这儿的一条或几条指令,让它指向各自的HOOKAPIPROX
获取API函数入口处后5字节数据
friendan的专栏
10-14 2493
获取API函数入口处后5字节数据,这在HOOK API时,经常用到,因为要了解API的入口特征嘛,这样才好对症下药。 //程序截图如下(后面附有源码下载地址,成品也在源码里面了) -------------------------------------------------------------------------------------------------------
方便JMP跳转,地址计算简化。__declspec(naked)
iteye_15278的博客
03-21 314
[code="c"] __declspec(naked) void test() { } [/code] 将不会产生EBP的移动,也就是说干净的源代码(汇编)
VC Hook
云守护的专栏
04-08 875
#ifndef __ILHOOK_H__F47BF581_8D85_49ef_923D_895DCC9E4471_ #define __ILHOOK_H__F47BF581_8D85_49ef_923D_895DCC9E4471_ #include class CILHook { public: CILHook(); // 构造 ~CILHook(); //
WINAPI调用约定函数的inlineHOOK模板类(class)
09-17
使用class封装的inlineHOOK模板类(class),可劫持大部分WINAPI函数,此种函数的...Real指针指向正确的函数(先执行5字节,然后jmp跳转到被劫持函数的第6字节处,所以要确保5字节是完整的指令,或者自己修改字节数)
游戏修改器制作教程六:hook的各种姿势
热门推荐
El Psy Congroo
12-18 1万+
在第二章介绍了hook机制,本章要自己实现hook,实现调用某个函数时我们能截获、修改、取消这次调用
HOOK Windows API
flowwaterdog的博客
04-26 590
HOOK Windows API 只能HOOK 本地的API,适用于入门学习 HOOK API的一般步骤: 1.定义假API函数 假API函数,除了函数名称和真API不一样之外,其它的都要跟真API的定义相同,如参数类型和返回值、调用形式等。 int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType...
Delphi在BASM中让“jmp proc”返回到下一行
08-10
摘要:Delphi源码,其它类别,BASM   本示例用于演示如何在BASM中使得“jmp proc”执行后返回到下一行。      尽管使“jmp proc”执行后返回到下一行的方很多,但要实现如下   两个目标却是比较难于做到的:    1. 不破坏栈结构,使proc()与当函数有相同的入口参数(stdcall)    2. 代码通用,不需要每次都计算地址      这样的需求可能出现在使用raw hook技术实现的API拦截上。      本例实现了满足上述需求。但它同时导致一个严重问题:由于修改了栈   上的返回地址,因此事实上当JmpCall()过程在执行完并返回(ret)   时,将取得一个非确定的地址值。      这在本例中的直接后果就是:代码未尾的"readln;"一行将无执行到。      要避免这个问题,应该使用一个内存地址来暂存“当的”返回地址,   并在“jmp proc”之后修正堆栈。
JMP Call hook
11-19
JMP与CALL HOOK之间的较量,攻防之战
JMPHOOK
gezi322的专栏
04-14 1763
 JMP  HOOK  IAT  detours Win9x   系统中,系统DLL被装入实际的物理存储器,然后映射到每个进程的0x80000000~0xBFFFFFFF共享内存区,如果修改这段区域的DLL代码,则对于所有进程都有效(实际Win98对主要的系统DLL作了保护,除非进入ring0才能修改)。        Win2000/NT   的进程空间不存在共享内存区,尽管DLL被装入
汇编学习笔记3——jmp命令与DEBUG进阶指令
林中路
05-31 1464
汇编学习笔记(3)1.若要同时修改CS、IP的内容,可用指令:jmp 段地址:偏移地址 2.若想仅修改IP的内容,可用指令:jmp 某一合寄存器 //该指令的作用为:用寄存器中的值修改IP3.DEBUG.exe基础命令详解:(1).-r 查看、改变CPU寄存器的内容:单独使用,可以查看所有寄存器里的内容(2).若要改变某个寄存器里的内容,则使用 -r 寄存器名称 回车后,在出现的“:”后面输入
[检测&过检测] 重写 ReadProcessMemory 、WriteProcessMemory
LYSM
07-12 2895
一、本文大纲 系统调用的两种方式:中断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当CPU是否支持快速调用 3环进0环需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重写 ReadProcessMemory 和 WriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、中断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程
通过WriteProcessMemory改写进程的内存
weixin_34378922的博客
07-18 1028
http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadProcessMemory读取程序内存,也能够使用WriteProcessMemory改敲代码的内存,这也是一些内存补丁使用的招数,下面是程序的实现代码 #include <windo...
HOOK某龙游戏
qq_42522002的博客
04-25 297
Hook5类实现了一个对5字节函数进行HOOK的功能,通过构造函数传入要替换的地址、跳转目标地址、原始5字节代码和返回地址相对于hook地址的偏移等参数,通过调用Hook函数实现对指定函数的拦截,并将原始函数的执行流程跳转到指定的目标函数地址,从而实现对函数行为的修改。以上就是基本的Hook类封装,所有X86 5字节Hook都可以调用这个封装,接下来我们以Hook某龙的lua为例,简单调用这层Hook类封装。2.7 Hook点击事件调用Hook5类的Hook业务函数(2.6 hook钩子函数业务的编写。
给我一个hook的例子
最新发布
02-25
<think>好的,我现在需要给用户提供一个关于Hook技术的例子。用户之已经询问了Hook技术的原理和用,现在他们想要一个具体的示例。我需要选择一个合适的例子,既要能展示Hook的基本概念,又要足够简单易懂,适合不同层次的用户理解。 首先,用户可能对Hook的具体实现感兴趣,但可能没有太多编程或逆向工程的经验。所以,我需要选择一个常见的、容易实现的例子。通常,API Hook是一个常见的例子,比如钩住Windows API函数,比如MessageBoxA,来修改其行为。这个例子很经典,因为MessageBoxA函数比较直观,用户可能熟悉它的基本用,也容易看到Hook后的效果。 接下来,我需要考虑示例的可行性。用户可能需要具体的代码示例,但也要注意不同编程语言的适用性。考虑到Windows平台,使用C/C++和Windows API可能更直接。不过,用户可能对Python或其他高级语言更熟悉,但Python在低级Hook方面可能不够直接。因此,可能需要使用C/C++作为示例语言,但需要解释清楚每一步的作用。 然后,我需要确定使用哪种Hook技术。Inline Hook和IAT Hook都是常见的选择。IAT Hook可能更容易理解,因为它涉及修改导入地址表,而Inline Hook则需要修改函数代码本身,可能涉及到汇编和内存权限的处理。对于示例来说,IAT Hook可能更简单,但实际中Inline Hook更常用,因为它不依赖于导入表的结构。不过,Inline Hook需要处理更多的细节,比如覆盖函数的几个字节,插入跳转指令,并且处理原始字节的备份。 另一个考虑是是否需要使用现有的库或框架来简化Hook的实现。例如,微软的Detours库是一个常用的工具,用于实现API Hook。使用Detours可以简化代码,但可能需要用户安装额外的库。如果用户希望看到一个不依赖第三方库的示例,可能需要手动实现Inline Hook,这会更复杂,但更有教育意义。 此外,还需要考虑示例的安全性。修改内存中的代码可能会导致程序崩溃,特别是如果处理不当的话。因此,在示例中需要强调内存权限的修改(比如使用VirtualProtect来更改内存页的保护属性),以及在完成Hook后恢复原始字节的重要性。 用户可能还想了解Hook的实际应用场景。例如,修改MessageBoxA的弹窗内容可以展示如何篡改程序的行为,或者记录函数调用的参数和次数,用于监控程序的行为。这些应用场景可以帮助用户更好地理解Hook的用途。 最后,我需要确保示例代码的准确性和可测试性。代码应该足够简单,没有错误,并且用户能够复制粘贴后在自己的环境中运行(假设他们配置好了必要的开发环境)。同时,需要解释代码的关键部分,确保用户能够理解每一步的作用。 总结一下,我需要选择一个常见的API函数作为目标(如MessageBoxA),使用Inline Hook或Detours库来实现Hook,展示如何修改函数的行为,并在示例中包括必要的步骤,如备份原始字节修改内存权限、插入跳转指令、处理调用约定等。同时,解释代码的关键部分和应用场景,帮助用户全面理解Hook的实际应用。</think>以下是一个使用 **Inline Hook** 技术劫持 Windows API 函数 `MessageBoxA` 的示例。通过修改函数入口指令,将程序执行流重定向到自定义函数,实现修改弹窗内容的功能。 --- ### **示例目标** 劫持 `MessageBoxA` 函数,在调用时修改弹窗的标题和内容。 --- ### **实现代码(C/C++)** ```cpp #include <windows.h> #include <stdio.h> // 原始函数指针定义 typedef int (WINAPI* OriginalMessageBoxA)(HWND, LPCSTR, LPCSTR, UINT); OriginalMessageBoxA pOriginalMessageBoxA = NULL; // 自定义的代理函数 int WINAPI MyMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { // 修改参数:将内容改为 "Hooked!" return pOriginalMessageBoxA(hWnd, "Hooked!", "Hooked Title", uType); } // 实现 Inline Hook void InstallHook() { HMODULE hModule = GetModuleHandleA("user32.dll"); if (!hModule) return; // 获取 MessageBoxA 的原始地址 pOriginalMessageBoxA = (OriginalMessageBoxA)GetProcAddress(hModule, "MessageBoxA"); if (!pOriginalMessageBoxA) return; // 修改内存页权限为可写 DWORD oldProtect; VirtualProtect(pOriginalMessageBoxA, 5, PAGE_EXECUTE_READWRITE, &oldProtect); // 构造跳转指令(jmp到MyMessageBoxA) BYTE jmp[5] = { 0xE9, 0x00, 0x00, 0x00, 0x00 }; DWORD jmpOffset = (DWORD)MyMessageBoxA - (DWORD)pOriginalMessageBoxA - 5; // 写入偏移量(小端字节序) memcpy(&jmp[1], &jmpOffset, 4); // 覆盖 MessageBoxA 函数头部指令 memcpy(pOriginalMessageBoxA, jmp, 5); // 恢复内存页权限 VirtualProtect(pOriginalMessageBoxA, 5, oldProtect, &oldProtect); } // 测试代码 int main() { InstallHook(); MessageBoxA(NULL, "Original Text", "Original Title", MB_OK); return 0; } ``` --- ### **关键步骤解析** 1. **获取函数地址** - 通过 `GetProcAddress` 获取 `MessageBoxA` 的原始地址。 2. **修改内存权限** - 使用 `VirtualProtect` 将目标函数的内存页属性改为可写(`PAGE_EXECUTE_READWRITE`)。 3. **构造跳转指令** - 机器码 `0xE9` 对应 `jmp` 指令,后接 4 字节偏移量。 - 偏移量计算:`目标地址 - 原始地址 - 5`(指令长度)。 4. **覆盖原始代码** - 将 `jmp` 指令写入 `MessageBoxA` 函数的头部,使调用跳转到 `MyMessageBoxA`。 5. **代理函数处理** - 在 `MyMessageBoxA` 中修改参数后,调用原始函数(需备份原函数指针)。 --- ### **运行效果** - 未 Hook 时弹窗显示: `Title: Original Title` `Content: Original Text` - Hook 后弹窗显示: `Title: Hooked Title` `Content: Hooked!` --- ### **注意事项** 1. **线程安全** - Hook 过程中若其他线程正在执行目标函数,可能导致崩溃。需通过临界区或暂停线程处理。 2. **指令备份与恢复** - 实际场景需备份被覆盖的原始指令(如通过 `Trampoline` 技术),确保原函数逻辑完整。 3. **64 位兼容性** - 64 位程序地址为 8 字节,需改用 `jmp [rip+offset]` 或 `mov rax, addr; jmp rax` 指令。 --- ### **扩展场景** - **监控函数调用**:记录 `MessageBoxA` 的调用次数和参数。 - **绕过验证**:劫持关键函数(如 `strcmp`),修改返回值绕过密码校验。 - **动态调试**:在代理函数中插入断点(`__debugbreak()`),实现运行时分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值