win32 拦截API

最新推荐文章于 2025-02-20 22:22:12 发布
最新推荐文章于 2025-02-20 22:22:12 发布
阅读量1k 收藏 1
点赞数
文章标签: 拦截API win32 CreateFileW 记事本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jfu22/article/details/23025233
版权

下面代码演示了向“记事本”程序(NOTEPAD.EXE)的进程地址空间中拦截API,大致原理如下:


1. 提升注入(注意和“被注入”的区别)程序的进程访问权限

2. 随便打开一个记事本文件,注意是用NOTEPAD.EXE打开的

3. 查找NOTEPAD.EXE对应的进程ID,即Process ID

4. 以所有权限(包括read/write)打开NOTEPAD.EXE的进程ID

5. 在NOTEPAD.EXE的进程ID地址空间中,申请一块内存

6. 向刚刚申请的内存中,写入我们想要写的任何代码(注意:注入的代码中全部都用指针的形式调用相关数据和函数)

7. 我们写的代码不会自动执行,当你编辑被拦截的记事本内容,然后按 Ctrl+S 保存后,会调用CreateFileW(...)这个API,这个API已经被我们做过手脚了,会跳转到我们写的任何函数处,并执行,执行完后,将正确的API前10个字节恢复成原来的样子,然后清理现场,不留痕迹,就ok啦


注意该程序必须在Release版本下运行,如果是DeBug版本的话,因为编译器没做优化和加了一些debug代码,所以会内存读写报错


//
//拦截 CreateFileW(...) API的示例代码
//
//整理:过客    
//邮箱:386520874@qq.com    
//日期:2014.04.06

#include <stdio.h>
#include <windows.h>
#include <wchar.h>
#include <TlHelp32.h>

typedef struct _RemoteParam
{
	DWORD dwCreateFile;
	DWORD dwMessageBox;
	DWORD dwGetCurrentProcess;
	DWORD dwWriteProcessMemory;
	unsigned char szOldCode[10];
	DWORD FunAddr;
	wchar_t info[260];
} RemoteParam, * PRemoteParam;

typedef HANDLE (__stdcall * PFN_CREATEFILE)(LPCWSTR,DWORD,DWORD,LPSECURITY_ATTRIBUTES,DWORD,DWORD,HANDLE);
typedef int (__stdcall * PFN_MESSAGEBOX)(HWND, LPCWSTR, LPCWSTR, DWORD);
typedef BOOL (__stdcall * PFN_WRITEPROCESSMEMORY)(HANDLE,LPVOID,LPCVOID,SIZE_T,SIZE_T*); 
typedef HANDLE (__stdcall * PFN_GETCURRENTPROCESS)(void);

void HookCreateFile(LPVOID lParam) 
{
	RemoteParam* pRP = (RemoteParam*)lParam;
	
	DWORD NextIpAddr = 0; 
	DWORD dwParamaAddr = 0;

	HANDLE RetFpHdl = INVALID_HANDLE_VALUE;
	LPCWSTR lpFileName; 
	DWORD dwDesiredAccess; 
	DWORD dwShareMode;
	LPSECURITY_ATTRIBUTES lpSecurityAttributes; 
	DWORD dwCreationDisposition; 
	DWORD dwFlagsAndAttributes; 
	HANDLE hTemplateFile; 
	PFN_CREATEFILE pfnCreatefile = (PFN_CREATEFILE)pRP->dwCreateFile;

	//下面的汇编代码是将Createfile(...)里面的7个参数和另外两个变量(dwParamaAddr和NextIpAddr)保存到变量中,以便后面调用
	__asm 
	{ 
		MOV EAX,[EBP+8]
		MOV [dwParamaAddr], EAX
		MOV EAX,[EBP+12]
		MOV [NextIpAddr], EAX
		MOV EAX,[EBP+16]
		MOV [lpFileName], EAX
		MOV EAX,[EBP+20]
		MOV [dwDesiredAccess], EAX
		MOV EAX,[EBP+24]
		MOV [dwShareMode], EAX
		MOV EAX,[EBP+28]
		MOV [lpSecurityAttributes], EAX
		MOV EAX,[EBP+32]
		MOV [dwCreationDisposition], EAX
		MOV EAX,[EBP+36]
		MOV [dwFlagsAndAttributes], EAX
		MOV EAX,[EBP+40]
		MOV [hTemplateFile], EAX
	}

	PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;

	int allowFlag = pfnMessageBox(NULL, lpFileName, pRP->info, MB_ICONWARNING | MB_YESNO);

	PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)pRP->dwGetCurrentProcess; 
	PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)pRP->dwWriteProcessMemory;
	pfnWriteProcessMemory(pfnGetCurrentProcess(), (LPVOID)pfnCreatefile, (LPCVOID)pRP->szOldCode, 10, NULL);

	RetFpHdl = pfnCreatefile(lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); 

	//下面代码是善后工作,这个非常重要,如果没有的话,EIP将回不到调用Createfile(...)的下一条命令,这条命令在"notepad.exe"的名字空间
	//而不是kernel32.dll的名字空间中,要切记。
	__asm 
	{
		POP EDI
		POP ESI
		POP EBX
		MOV EDX, [NextIpAddr] //调用Createfile(...)这一命令的下一条命令地址,
		MOV EAX, [RetFpHdl] //函数返回值要放到EAX寄存器里,这一句可省略,原因是pfnCreatefile(...)会自动将结果存入EAX
		MOV ESP, EBP
		POP EBP
		MOV ESP, EBP
		PUSH EDX
		RET //ret指令用栈中的数据(即edx里面的地址),修改IP的内容,注意不修改CS的内容,retf才是 
	}
}

//提升进程访问权限
BOOL enableDebugPriv()
{
	HANDLE hToken;
	LUID sedebugnameValue;
	TOKEN_PRIVILEGES tkp;

	if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
	{
		return FALSE;
	}
	if(!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))
	{
		CloseHandle(hToken);
		return FALSE;
	}
	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Luid = sedebugnameValue;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; //特权启用
	if(!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL)) //启用指定访问令牌的特权
	{
		CloseHandle(hToken);
		return FALSE;
	}
	return TRUE;
}

//根据进程名称得到进程ID,如果有多个运行实例的话,返回第一个枚举到的进程的ID
DWORD processNameToId(LPCTSTR lpszProcessName)
{
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	PROCESSENTRY32 pe;
	pe.dwSize = sizeof(PROCESSENTRY32);
	if(!Process32First(hSnapshot, &pe))
	{
		MessageBox(NULL, "The frist entry of the process list has not been copyied to the buffer", "Notice", MB_ICONINFORMATION | MB_OK);
		return 0;
	}
	while(Process32Next(hSnapshot, &pe)) //循环查找下一个进程
	{
		if(!strcmp(lpszProcessName, pe.szExeFile)) //找到了
		{
			return pe.th32ProcessID;
		}
	}

	return 0;
}

//==============================================
int main(int argc, char* argv[]) 
{
	//提升进程访问权限
	if(!enableDebugPriv()) 
	{ 
		printf("提升进程访问权限 Error!\n"); 
		return -1; 
	}

	//等待输入进程名称,注意大小写匹配
	char szExeName[MAX_PATH] = { 0 };
//	cout << "Please input the name of target process !" << endl;
//	cin >> szExeName; //接收命令行输入的字符串
//	cout << szExeName << endl;
//	strcpy(szExeName,"notepad.exe");
//	scanf("%s",szExeName);
	sprintf(szExeName,"NOTEPAD.EXE");
 
	DWORD dwProcessId = processNameToId(szExeName); //Name转换成ID
	if(dwProcessId == 0)
	{
		MessageBox(NULL, "The target process have not been found !", "Notice", MB_ICONINFORMATION | MB_OK);
		return -1;
	}

	HANDLE hTargetProcess = OpenProcess(PROCESS_VM_OPERATION|PROCESS_VM_WRITE|PROCESS_VM_READ, FALSE, dwProcessId); 
	if(hTargetProcess == NULL) 
	{ 
		printf("OpenProcess Error!\n"); 
		return -1; 
	}
	
	//定义线程体的大小,实际分配的内存大小是页内存大小的整数倍
	int size_Func=1024*8;

	DWORD dwFunAddr = (DWORD)VirtualAllocEx(hTargetProcess, NULL, size_Func, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); 
	if((LPVOID)dwFunAddr == NULL) 
	{ 
		printf("申请线程内存失败!\n"); 
		CloseHandle(hTargetProcess); 
		return -1; 
	}

	DWORD dwPramaAddr = (DWORD)VirtualAllocEx(hTargetProcess, NULL, sizeof(RemoteParam), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if((LPVOID)dwPramaAddr == NULL) 
	{ 
		printf("申请参数内存失败!\n"); 
		CloseHandle(hTargetProcess); 
		return -1; 
	}

	printf("\n线程内存地址:%.8x\n参数内存地址:%.8x\n", dwFunAddr, dwPramaAddr);
	RemoteParam RParam;
	ZeroMemory(&RParam, sizeof(RParam));
	HMODULE hKernel32 = LoadLibrary("kernel32.dll");
	HMODULE hUser32 = LoadLibrary("user32.dll");

	RParam.dwCreateFile = (DWORD)GetProcAddress(hKernel32, "CreateFileW");
	RParam.dwGetCurrentProcess = (DWORD)GetProcAddress(hKernel32, "GetCurrentProcess");
	RParam.dwWriteProcessMemory = (DWORD)GetProcAddress(hKernel32, "WriteProcessMemory");
	RParam.dwMessageBox = (DWORD)GetProcAddress(hUser32, "MessageBoxW");

	wchar_t str2[]={L"我拦截API成功了,哈哈^o^"};
	::wmemcpy_s(RParam.info,sizeof(RParam.info),str2,sizeof(str2));
	for(int i=15; i<31; i++){RParam.info[i]=L'\0';}

	unsigned char oldcode[10]; 
	unsigned char newcode[10]; 
	int praadd = (int)dwPramaAddr; 
	int threadadd = (int)dwFunAddr; 
	newcode[4] = praadd>>24; 
	newcode[3] = (praadd<<8)>>24; 
	newcode[2] = (praadd<<16)>>24; 
	newcode[1] = (praadd<<24)>>24; 
	newcode[0] = 0x68; //0x68: push newcode[1..4],参数先压栈

	int offsetaddr = threadadd - (int)RParam.dwCreateFile - 10 ; 
	newcode[9] = offsetaddr>>24; 
	newcode[8] = (offsetaddr<<8)>>24; 
	newcode[7] = (offsetaddr<<16)>>24; 
	newcode[6] = (offsetaddr<<24)>>24; 
	newcode[5] = 0xE8; //0xE8: call newcode[6..9],然后调用函数

	printf("NewCode:"); 
	for(int j = 0; j < 10; j++){printf("0x%.2x ",newcode[j]);}
	printf("\n");

	DWORD dwRead = 0;

	if(!ReadProcessMemory(GetCurrentProcess(), (LPCVOID)RParam.dwCreateFile, oldcode, 10, &dwRead)) 
	{
		printf("read error");
		CloseHandle(hTargetProcess);
		FreeLibrary(hKernel32);
		return -1;
	}

	strcat((char*)RParam.szOldCode, (char*)oldcode);
	RParam.FunAddr = dwFunAddr;

	printf("RParam.dwCreateFile:%.8x\nRParam.dwMessageBox:%.8x\nRParam.dwGetCurrentProcess:%.8x\nRParam.dwWriteProcessMemory:%.8x\nRParam.FunAddr:%.8x\n", 
		RParam.dwCreateFile, RParam.dwMessageBox, RParam.dwGetCurrentProcess, RParam.dwWriteProcessMemory, RParam.FunAddr); 
	
	//RParam.szOldCode[i]里面存放的是kernel32.dll里面的CreateFileW函数的前10个字节
	printf("RParam.szOldCode:");
	for(int i = 0; i< 10; i++){printf("0x%.2x ", RParam.szOldCode[i]);}
	printf("\n"); 

	DWORD dwWrite = 0;

	if(!WriteProcessMemory(hTargetProcess, (LPVOID)dwFunAddr, (LPVOID)&HookCreateFile, size_Func, &dwWrite))
	{
		printf("WriteRemoteProcessesMemory Error 1 !\n");
		CloseHandle(hTargetProcess);
		FreeLibrary(hKernel32);
		return -1;
	}

	if(!WriteProcessMemory(hTargetProcess, (LPVOID)dwPramaAddr, (LPVOID)&RParam, sizeof(RemoteParam), &dwWrite))
	{
		printf("WriteRemoteProcessesMemory Error 2 !\n");
		CloseHandle(hTargetProcess);
		FreeLibrary(hKernel32);
		return -1;
	}

	//将dwPid所在的进程的CreateFile API函数入口处前10个字节替换掉,当dwPid进程一旦调用CreateFile,就会先读取这10个字节
	//实际上这10个字节是调用dwFunAddr处的函数,这个函数就是HookCreateFile
	if(!WriteProcessMemory(hTargetProcess, (LPVOID)RParam.dwCreateFile, (LPVOID)newcode, 10, &dwWrite))
	{
		printf("WriteRemoteProcessesMemory Error 3 !\n");
		CloseHandle(hTargetProcess);
		FreeLibrary(hKernel32);
		return -1;
	}

	printf("\n已经将代码注入到目标进程(notepad.exe),祝好运!!!\n");
	CloseHandle(hTargetProcess);
	FreeLibrary(hKernel32);

	system("pause");

	return 0;
}

--------------------------------------------------------------

运行结果截图:


jfu22
关注
拦截win32 API
ljz888666555的专栏
07-13 1001
原文出处:http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。
win32 api拦截---------hips核心技术
zk520的专栏
11-30 673
导读:   win32 api拦截---------hips核心技术   (转贴,本文比较基础,推荐阅览。当然,对于大侠来说,会嗤之以鼻)   拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。   许
api钩子的实现--用Detours拦截Win32API函数
12-24
api钩子的实现--用Detours拦截Win32API函数
【C语言】CreateFile函数用法介绍
最新发布
XZ_ZC的博客
02-20 1320
CreateFile函数是Windows API中用于文件/设备操作的核心接口,支持创建、打开文件及多种I/O设备(如串口、管道、磁盘等)。本文将详细介绍。
揭示win32 api拦截细节
挨踢生涯
03-09 4148
拦截win32 API 调用对于多数windows开发人员来说一直都是很有挑战性的课题,但我承认,这也是我喜欢的课题之一。钩子机制表现为用一种底层技术控制特定代码段的执行,它也提供了一种直观的机制,可以很容易改变操作系统的行为,而并不需要涉及到操作系统的代码。这跟一些第三方产品类似。    许多系统都致力于通过拦截技术(spying techniques)来控制利用现有windows应用程序。
拦截win32 API 调用(下)
亮子说编程的博客
06-30 1251
拦截win32 API 调用(下) 设计和实现      本部分将讨论钩子架构的关键部分以及它们之间的通讯方式。这样的架构能够拦截任何通过名称导入的api函数。      在概述拦截系统的设计之前,请留意几种注入和拦截方式。      首先,要选择一种能够把dll注入系统所有进程的方式。因此我设计了一个抽象基类,并实现两种注入技术,根据ini文件的设置和操作系统版本(例如windowsN
WINDOWS钩子与API截获和替换Win32 API的开发包HookAPI源码1.62版
02-23
API截获是Hook技术的一种应用,主要用于替代或修改特定的Win32 API函数的行为。在某些情况下,例如为了实现调试、监控、安全控制等功能,开发者可能需要对特定API调用进行拦截,然后根据需求执行自定义操作,甚至...
Delphi Win32核心API参考:扩展Delphi组件功能指南
标题所提及的“delphi win32核心API参考”指向一本专门针对Delphi开发者的图书,该图书深入讲解了Windows平台下32位Delphi编程中使用的Win32 API(Application Programming Interface)。API作为操作系统与应用程序...
apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip
04-04
本资料包“apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip”显然关注于这个主题,提供了如何在任意指定的进程中实现API Hook的技术细节。 API Hook主要分为几种类型: 1. **全局Hook**:全局Hook在系统...
解决Detours.h缺失导致的Win32 API函数拦截问题
- 通过拦截API函数,开发者可以检查和修改传递给API的参数,或者修改API的返回值,甚至完全替换掉API的行为。 2. **修改PE文件**: - PE(Portable Executable)是Windows操作系统下程序文件的格式,包括可执行...
揭示Win32 API拦截细节
weuro的专栏
01-18 969
原文出处:http://www.codeproject.com/system/hooksys.asp 简要介绍 拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。 许多系
windows下DLL动态库注入和拦截
06-08
程序实现的功能是注入一个动态库,拦截其它程序不能打开指定exe。程序分为三部分:用于测试的exe程序(Test)、拦截动态库(inlinehook)、动态库注入和卸载程序(DLLinject)
(OC)ScreenShot禁止截屏.zip
09-23
(OC)ScreenShot禁止截屏
win32APi(中文版).zip
05-18
不需要积分,方便点个赞就可!下载看看是不是你需要的就可以了,排版不是很好! 在线网站 http://www.yfvb.com/help/win32sdk/
揭示win32 api拦截细节 转载自www.hookbase.com
www.pingfi.com
03-04 2380
揭示win32 api拦截细节 骇客基地 阅读: 3 时间:2007-3-4 3:56:06 来源:www.hookbase.com---------------------------------------------------------------
利用HOOKAPI拦截文件操作
bruce135lee的专栏
02-09 3914
先读下HookAPI 使用文档:功能简介HookAPI 是一个截获Windows 32位API函数的开发包,它可以在Windows调用某个API函数的时候,先调用自己编写的函数,从而实现特殊的功能。HookAPI同样也适用于截获用户自己编写的DLL文件中的输出函数。 1.5系统特点:1)自己编写的替代函数的参数形式和原API函数完全一样,方便了Delphi和VB用户的使用。2)实时截获所有新建立的...
API拦截教程
marrco2005的专栏
03-06 3004
对于程序员来讲,API拦截技术是一种重要的基础技术。这项技能为编写某些工具软件提供了可能,并可以大大提高我们对第三方应用程序的控制能力。不过,目前 API 拦截的技术资料往往局限于原理方面的论述,很少有文章涉及到如何具体地编译一个 API 拦截程序。我在寻找相关资料的时候,就走了不少弯路,如果当初有一份详细的资料,这些不必要的弯路是完全可以避免的。而这正是我编写这份技术资料的目的。要学习 AP
CobaltStrike木马artifact.exe规避火绒,360,node32沙盒的方法分析
马句
10-31 3047
最近发现一个奇怪的现象,我用CobaltStrike直接生成一个裸奔测试后门artifact.exe然后使用火绒扫描,火绒居然没有直接查杀自己上线自己按理说这种被渗透人员大量使用的后门,不管它原本使用了哪些牛逼的沙盒绕过手法都应该被直接特征码定位查杀,根本不不用杀软沙盒分析。很明显,火绒应该是忘了加针对CobaltStrike的特征码,然后使用后一步的沙盒分析但是不幸的是,沙盒分析也被Cobalt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值