从Hook虚函数到HOOK COM API

最新推荐文章于 2020-11-15 12:54:30 发布
最新推荐文章于 2020-11-15 12:54:30 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: COM C++ Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linlin003/article/details/82999518
版权 
// HookVtable.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <iostream>
#include <memory.h>
#include <windows.h>

using namespace std;

class Test{
private:
	HANDLE m_hProcess;
	DWORD m_dwOldProtectFlag;
	ULONG_PTR** m_pplVrtable;
	ULONG_PTR m_OldProcAddress;
	size_t m_sizeRead;
	MEMORY_BASIC_INFORMATION mbi;
public:
	Test() :m_hProcess(NULL),
		m_dwOldProtectFlag(0),
		m_pplVrtable(NULL),
		m_OldProcAddress(0),
		m_sizeRead(0)
	{
		ZeroMemory(&mbi, sizeof(mbi));
	}
	~Test()
	{
	};
	virtual void fun1()
	{
		cout <<this<<":"<< "fun1 called!" << endl;
	}
	virtual void fun2()
	{
		cout << this << ":" << "fun2 called!" << endl;
	}
	virtual void fun3()
	{
		cout << this << ":" << "fun3 called!" << endl;
	}
	void Hook(ULONG_PTR dwAddFun)
	{
		m_pplVrtable = (ULONG_PTR**)(this);
		m_hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
		if (VirtualQueryEx(m_hProcess, (LPVOID)(*m_pplVrtable), &mbi, sizeof(mbi)) != sizeof(mbi))
			return;
		if (!VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, PAGE_EXECUTE_READWRITE, &m_dwOldProtectFlag))
			return;
		ReadProcessMemory(m_hProcess, &(*m_pplVrtable)[1], &m_OldProcAddress, sizeof(ULONG_PTR), &m_sizeRead);
		(*m_pplVrtable)[1] = dwAddFun;

	}
	void UnHook()
	{
		DWORD dwTemp = 0;
		(*m_pplVrtable)[1] = m_OldProcAddress;
		VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, m_dwOldProtectFlag, &dwTemp);
		CloseHandle(m_hProcess);
	}

};

void MyFun()
{
	cout << "This is fake function" << endl;
}

int _tmain(int argc, _TCHAR* argv[])
{
	Test* pA = new Test;
	Test* pA2 = new Test;
	pA->Hook((ULONG_PTR)MyFun);
	pA->fun1();
	pA->fun2();
	pA2->fun2();
	pA->UnHook();
	pA->fun1();
	pA->fun2();
	pA2->fun2();
	delete pA;
	return 0;
}

 

同一个进程下 某个类的虚函数列表是唯一的, 所有类对象共享 ,类对象的this指针指向的第一个地址就是虚函数表的地址。

修改表中某个虚函数的地址就能修改所有类对象的函数跳转 (虚函数的索引 是虚函数在类里面的排序位置 由0开始)。

以上就是HOOK COM API的基本原理

测试一下吧

ITextServices* pTextServices = NULL;
typedef HRESULT(ITextServices::*TrueTxSendMessage)(UINT msg, WPARAM wparam, LPARAM lparam, LRESULT *plresult);
TrueTxSendMessage g_func = NULL;


HRESULT STDMETHODCALLTYPE FakeTxSendMessage(
	UINT msg,
	WPARAM wparam,
	LPARAM lparam,
	LRESULT *plresult)
{
	MessageBox(NULL, _T("FakeTxSendMessage"), _T("FakeTxSendMessage"), MB_OK);
	return (pTextServices->*(g_func))(msg,wparam,lparam,plresult);
}

HANDLE m_hProcess = NULL;
DWORD** m_pplVrtable = NULL;
DWORD m_dwOldProtectFlag = 0;
DWORD m_OldProcAddress = 0;
DWORD m_sizeRead = 0;
MEMORY_BASIC_INFORMATION mbi = {0};
void Hook(DWORD dwAddFun, ITextServices* pITextServices)
{
	m_pplVrtable = (DWORD**)(pITextServices);
	m_hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
	if (VirtualQueryEx(m_hProcess, (LPVOID)(*m_pplVrtable), &mbi, sizeof(mbi)) != sizeof(mbi))
		return;
	if (!VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, PAGE_EXECUTE_READWRITE, &m_dwOldProtectFlag))
		return;
	ReadProcessMemory(m_hProcess, &(*m_pplVrtable)[3], &m_OldProcAddress, sizeof(DWORD), &m_sizeRead);
	memcpy(&g_func, &m_OldProcAddress, sizeof(DWORD));
	(*m_pplVrtable)[3] = dwAddFun;

}
void UnHook()
{
	DWORD dwTemp = 0;
	(*m_pplVrtable)[3] = m_OldProcAddress;
	VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, m_dwOldProtectFlag, &dwTemp);
	CloseHandle(m_hProcess);
}

do
	{
		HRESULT hr;

		IUnknown* pUnk = NULL;


		// Create an instance of the application-defined object that implements the ITextHost interface.
		MyTextHost* pTextHost = new MyTextHost(g_hWnd);
		MyTextHost* pTextHost2 = new MyTextHost(g_hWnd);
		

		if (pTextHost == NULL)
			break;
		PCreateTextServices TextServicesProc = NULL;
		HMODULE hmodRichEdit = LoadLibrary(_T("Msftedit.dll"));

		// Retrieve the IID_ITextServices interface identifier from Msftedit.dll. 
		IID* pIID_ITS = NULL;
		if (hmodRichEdit)
		{
			pIID_ITS = (IID*)(VOID*)GetProcAddress(hmodRichEdit, "IID_ITextServices");
			TextServicesProc = (PCreateTextServices)GetProcAddress(hmodRichEdit, "CreateTextServices");
		}

		if (TextServicesProc)
		{
			hr = TextServicesProc(NULL, pTextHost, &pUnk);
		}

		// Create an instance of the text services object.
		//hr = CreateTextServices(NULL, pTextHost, &pUnk);

		if (FAILED(hr))
			break;

		

		// Retrieve the ITextServices interface.    
		hr = pUnk->QueryInterface(*pIID_ITS, (void **)&pTextServices);
		

		Hook((ULONG_PTR)FakeTxSendMessage, pTextServices);
		//UnHook();

		if (TextServicesProc)
		{
			hr = TextServicesProc(NULL, pTextHost2, &pUnk);
			hr = pUnk->QueryInterface(*pIID_ITS, (void **)&pTextServices);
		}

		pUnk->Release();

		
		hr = pTextServices->TxSendMessage(WM_SETFOCUS, 0, 0, 0);

		if (FAILED(hr))
			break;

		

	} while (0);

 

注意事项:

1,保存原有虚函数的指针类型需要为类成员函数指针类型

typedef HRESULT(ITextServices::*TrueTxSendMessage)(UINT msg, WPARAM wparam, LPARAM lparam, LRESULT *plresult);

否则异常

2,要保证调用约定前后一致

HRESULT STDMETHODCALLTYPE FakeTxSendMessage(
    UINT msg,
    WPARAM wparam,
    LPARAM lparam,
    LRESULT *plresult)
{
    MessageBox(NULL, _T("FakeTxSendMessage"), _T("FakeTxSendMessage"), MB_OK);
    return (pTextServices->*(g_func))(msg,wparam,lparam,plresult);
}

否则异常

Thanks~

hook COM接口 挂钩
03-30
环境:VS2008 语言:C++ 关于hookCOM接口的代码网上不多 结合自己找来的资料 写了一个简单demo 有兴趣的人 也可以参考OBS的游戏捕获实现 (传送:https://obsproject.com/)
Detours Express源码(微软API HOOK库)
09-24
Detours是微软开发的一个函数库, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是: 拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。 为一个已在运行的进程创建一新线程,装入自己的代码并运行。 ---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windows NT上编写了一个程序,该程序能使有“调试程序”的用户权限的用户成为系统管理员,附录利用Detours库函数修改该程序使普通用户即可成为系统管理员 (在NT4 SP3上)。 一. Detours的原理 ---- 1. WIN32进程的内存管理 ---- 总所周知,WINDOWS NT实现了虚拟存储器,每一WIN32进程拥有4GB的虚存空间, 关于WIN32进程的虚存结构及其操作的具体细节请参阅WIN32 API手册, 以下仅指出与Detours相关的几点: ---- (1) 进程要执行的指令也放在虚存空间中 ---- (2) 可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行,再改写其内容,从而修改正在运行的程序 ---- (3) 可以使用VirtualAllocEx从一个进程为另一正运行的进程分配虚存,再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行,并把要执行的指令以二进制机器码的形式写入,从而为一个正在运行的进程注入任意的代码 ---- 2. 拦截WIN32 API的原理 ---- Detours定义了三个概念: ---- (1) Target函数:要拦截的函数,通常为Windows的API。 ---- (2) Trampoline函数:Target函数的复制品。因为Detours将会改写Target函数,所以先把Target函数复制保存好,一方面仍然保存Target函数的过程调用语义,另一方面便于以后的恢复。 ---- (3) Detour 函数:用来替代Target函数的函数。 ---- Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令(共5个字节)把对Target函数的调用引导到自己的Detour函数, 把Target函数的开头的5个字节加上JMP Address_of_ Target _ Function+5作为Trampoline函数。例子如下: 拦截前:Target _ Function: ;Target函数入口,以下为假想的常见的子程序入口代码 push ebp mov ebp, esp push eax push ebx Trampoline: ;以下是Target函数的继续部分 …… 拦截后: Target _ Function: jmp Detour_Function Trampoline: ;以下是Target函数的继续部分 …… Trampoline_Function: ; Trampoline函数入口, 开头的5个字节与Target函数相同 push ebp mov ebp, esp push eax push ebx ;跳回去继续执行Target函数 jmp Target_Function+5 ---- 3. 为一个已在运行的进程装入一个DLL ---- 以下是其步骤: ---- (1) 创建一个ThreadFuction,内容仅是调用LoadLibrary。 ---- (2) 用VirtualAllocEx为一个已在运行的进程分配一片虚存,并把权限更改为可读可写可执行。 ---- (3) 把ThreadFuction的二进制机器码写入这片虚存。 ---- (4) 用CreateRemoteThread在该进程上创建一个线程,传入前面分配的虚存的起始地址作为线程函数的地址,即可为一个已在运行的进程装入一个DLL。通过DllMain 即可在一个已在运行的进程中运行自己的代码。 二. Detours库函数的用法 ---- 因为Detours软件包并没有附带帮助文件,以下接口仅从剖析源代码得出。 ---- 1. PBYTE WINAPI DetourFindFunction(PCHAR pszModule, PCHAR pszFunction) ---- 功能:从一DLL中找出一函数的入口地址 ---- 参数:pszModule是DLL名,pszFun
虚函数HOOK
FlowShell的专栏
08-16 1951
看来一些资料,觉得这篇写的比较好,做此笔记。 栗子如下: #pragma once #include using namespace std; class A { public: int iVal1; int iVal2; virtual void print1() { cout<<"iVal1(A) = "<<iVal1<<endl; } virtual void
又是一个APIHOOK
linuxheik的专栏
10-19 580
又是一个APIHOOK 借用了海风月影的HookApi 0.5的一些思路;又是一个APIHOOK,没什么特别的!能顺利完成任务,没有什么多余的!代码里用到了libdasm,去下载一个吧!HookProc的函数类型和原来的api一样,只是参数比原API多2个 DWORD WINAPI HookProc(DWORD RetAddr ,__pfnXXXX pfnXXXX, ...);
非常好的Hook api实例VC++源码
07-30
非常好的Hook api实例VC++源码,对于学习hook api有很大帮助。。
hook_api.zip_API_HOOK API_Hook_api_hook_hook api
09-23
前者可能是从pudn.com这个网站下载的文本文件,可能包含了关于API Hook的讨论、教程或代码示例。后者"hook api"可能是源代码文件或者文档,直接与API Hook技术相关。 API Hook的工作原理通常是通过替换API函数的...
API-Hook.rar_api hook_hook_hook api_对api进行hook
09-20
- VMT(Virtual Method Table)Hook:对于使用虚函数的类,可以替换类的VMT来Hook特定方法。 - Proxy Function:创建一个代理函数,该函数先执行你的逻辑,然后转发调用到原始API。 在对`MessageBoxW`进行Hook时...
APIhook.rar_APIHOOK_api hook_apihook.winso_拦截_进程 数据
09-14
5. **VTable Hook**:对于使用虚函数的类,可以通过修改VTable(虚函数表)来实现对特定函数的拦截。 6. **Inline Hook**:直接在原函数的入口处插入汇编指令,使得程序跳转到我们的钩子函数执行。 这个“APIhook...
API-Hook.zip_api hook_hook_hook api_钩子
09-24
4. **VTable Hook**:对于使用虚函数的类,可以通过修改对象的虚函数表(VTable)来实现Hook。这在处理面向对象的API时特别有用。 5. **Detouring**:Detouring技术,如Microsoft的Detours库,允许开发者在不修改...
ApiHook.rar_APIHOOK
09-14
6. **VTable Hook**:对于使用虚函数的类,可以修改对象的虚函数表,实现对虚函数的拦截。 在提供的文件中,"HookDll.dll"很可能是一个包含API Hook实现的动态链接库,它可能包含了用于设置Hook的函数。"HTools.exe...
IFileOperation COM HOOK
08-03
IFileOperation COM HOOK代码实例 WIN7系统在explorer.exe中操作文件都是调用IFileOperation COM接口,因此通用方法HOOK Win32 API 如DeleteFile就失去了作用该实例成功HOOK到了NewItem、RenameItem、RenameItems、MoveItem、MoveItems、CopyItem、CopyItems、DeleteItem、DeleteItems等接口备注: google您可以找到有关com hook代码实例,但存在两大问题: 1、只能hook一次,并且操作文件将失效 2、反注入后,explorer.exe直接奔溃该版本未修复这两个问题如果需要完整版本,请访问:http://www.csto.com/case/show/id:5177
软件破解逆向安全(三)初识HOOK
weixin_43781139的博客
11-15 3068
什么是HOOK?这是逆向工程里的一个大块,我在这里几句话是一定说不清楚的,如果大家想深入了解,可以去学习一下。我这里简单说一下,hook,中文就是钩子的意思,简单理解为勾住一切事物,来实现我们想要的功能。 外挂中的体现:实时读取数据(例如坐标),修改数据,不执行某处代码,过检测等等。 HOOK的方式可以分为: 直接修改,间接修改(找到空白地址写入自己想要执行的数据,原地址的区域做跳转,空白地址出跳转),直接修改。 接下来我们还是请出植物大战僵尸作为今天的实例,我们要做的是种植物而不掉阳光。 首先我
DirectUI界面编程(一)创建第一个应用
热门推荐
Coding...
07-11 1万+
1.获取Duilib库文件通过上一节大家对DirectUI界面设计有了初步的了解,本节开始我们一起学习Duilib界面库的使用。 首先我们需要获取Duilib库,目前最新版本为2.0,最新版本源码托管在Github上,项目地址: https://github.com/duilib/duilib 笔者选择的版本为1.1版,该版本可以从Google Code上获取: https://code.g
duilib:RichEdit无法响应textchanged消息
Ryan-专栏
05-05 1250
我在开发的时候遇到RichEdit无法响应textchanged消息。 开发RichEdit计算字符的时候遇到的,例:在RichEdit中,输入一个字符,下面有一个数字在增加计数。 修改源码:UIRichEdit.cpp void CRichEditUI::DoInit()添加 void CRichEditUI::DoInit() { if(m_bInited) return ...
关于QQ2009聊天消息获取原理说明
10-08 7636
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
Duilib中使用Richedit控件,输入出现乱码问题,可行解决办法
weixin_39678876的博客
06-20 1776
   在使用Duilib中的Richedit控件时,输入中文出现乱码,然而输入英文却能正常显示,上网查询方法时,可将代码采用Unicode编码模式,因改动较大,所以另寻其他方式,跟CRicheditUI中的实现代码,Duilib中Richedit采用msftedit.dll动态库中的服务。     PCreateTextServices TextServicesProc = NULL;     H...
深入解析API Hook技术及其应用
对于面向对象编程的API,可以Hook虚函数表(VTable)来改变类实例的方法调用行为。 6. **Detours库**: 微软的Detours库提供了一种方便的方式来实现API Hook,它允许程序员在不修改原始代码的情况下,透明地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值