函数钩子-Dll注入

最新推荐文章于 2025-07-01 23:44:37 发布
原创 最新推荐文章于 2025-07-01 23:44:37 发布 · 2.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#函数 #DLL注入-函数钩子

本文详细介绍了Windows系统下的API Hook技术,包括消息钩子的设置与释放方法、DLL注入及提权过程,并提供了具体的编程实例,展示了如何通过修改IAT表来实现API的Hook。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在应用层可以设置的钩子方法有许多种,其中经典的钩子是消息钩子,消息钩子分为两种,一种是系统级全局钩子,另外一种是线程级局部钩子,它们都是通过下面这一组函数来实现消息勾取,实现相对简单。

设置钩子: SetWindowsHookEx
释放钩子: UnhookWindowsHookEx
继续钩子: CallNextHookEx

钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。《百度百科》

除此之外,还可以利用修改目标进程空间中PE文件的IAT表中的指定API的地址,使它指向自定的DLL函数的API地址来达到API勾取的目的,在自定的API执行完毕之后,为了保证程序的正确执行,又要把相关的修改的地方还原,其中需要注意的是修改IAT中的地址的时候需要先通过VirtualProtect()函数获得对相关内存的读写权限。

BOOL VirtualProtect(
LPVOID lpAddress, // 目标地址起始位置
DWORD dwSize, // 大小
DWORD flNewProtect, // 请求的保护方式
PDWORD lpflOldProtect // 保存老的保护方式
);

其中实现的原理如下图(参考逆向工程核心原理332页)
函数勾取前
函数勾取后
下面直接引用书上的源代码
InjectDll.exe

#include "stdio.h"
#include "windows.h"
#include "tlhelp32.h"
#include "winbase.h"
#include "tchar.h"


void usage()
{
    printf("\nInjectDll.exe by ReverseCore\n"
           "- blog  : http://www.reversecore.com\n"
           "- email : reversecore@gmail.com\n\n"
           "- USAGE : InjectDll.exe <i|e> <PID> <dll_path>\n\n");
}


BOOL InjectDll(DWORD dwPID, LPCTSTR szDllName)
{
    HANDLE hProcess, hThread;
    LPVOID pRemoteBuf;
    DWORD dwBufSize = (DWORD)(_tcslen(szDllName) + 1) * sizeof(TCHAR);
    LPTHREAD_START_ROUTINE pThreadProc;

    if ( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)) )
    {
        DWORD dwErr = GetLastError();
        return FALSE;
    }

    pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);

    WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllName, dwBufSize, NULL);

    pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryW");
    hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
    WaitForSingleObject(hThread, INFINITE); 

    CloseHandle(hThread);
    CloseHandle(hProcess);

    return TRUE;
} 


BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName)
{
    BOOL bMore = FALSE, bFound = FALSE;
    HANDLE hSnapshot, hProcess, hThread;
    MODULEENTRY32 me = { sizeof(me) };
    LPTHREAD_START_ROUTINE pThreadProc;

    if( INVALID_HANDLE_VALUE == (hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID)) )
        return FALSE;

    bMore = Module32First(hSnapshot, &me);
    for( ;bMore ;bMore = Module32Next(hSnapshot, &me) )
    {
        if( !_tcsicmp(me.szModule, szDllName) || !_tcsicmp(me.szExePath, szDllName) )
        {
            bFound = TRUE;
            break;
        }
    }

    if( !bFound )
    {
        CloseHandle(hSnapshot);
        return FALSE;
    }

    if( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)) )
    {
        CloseHandle(hSnapshot);
        return FALSE;
    }

    pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(L"kernel32.dll"), "FreeLibrary");
    hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, me.modBaseAddr, 0, NULL);
    WaitForSingleObject(hThread, INFINITE); 

    CloseHandle(hThread);
    CloseHandle(hProcess);
    CloseHandle(hSnapshot);

    return TRUE;
}


DWORD _EnableNTPrivilege(LPCTSTR szPrivilege, DWORD dwState)
{
    DWORD dwRtn = 0;
    HANDLE hToken;
    if (OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
    {
        LUID luid;
        if (LookupPrivilegeValue(NULL, szPrivilege, &luid))
        {
            BYTE t1[sizeof(TOKEN_PRIVILEGES) + sizeof(LUID_AND_ATTRIBUTES)];
            BYTE t2[sizeof(TOKEN_PRIVILEGES) + sizeof(LUID_AND_ATTRIBUTES)];
            DWORD cbTP = sizeof(TOKEN_PRIVILEGES) + sizeof (LUID_AND_ATTRIBUTES);

            PTOKEN_PRIVILEGES pTP = (PTOKEN_PRIVILEGES)t1;
            PTOKEN_PRIVILEGES pPrevTP = (PTOKEN_PRIVILEGES)t2;

            pTP->PrivilegeCount = 1;
            pTP->Privileges[0].Luid = luid;
            pTP->Privileges[0].Attributes = dwState;

            if (AdjustTokenPrivileges(hToken, FALSE, pTP, cbTP, pPrevTP, &cbTP))
                dwRtn = pPrevTP->Privileges[0].Attributes;
        }

        CloseHandle(hToken);
    }

    return dwRtn;
}

DLL注入以及提权的代码和普通DLL注入的一样,没有变化,在这里有一个问题,DLL注入之后就可以直接实现运行自定义代码,又何必费力去勾取特定函数?我思考之后发现原因可能有二:
1、从恶意代码的角度考虑,它是防止杀软检测的一种手段(具体原因还没有搞清楚)
2、从函数监控或者函数补丁的角度来看它显然用处明显
int _tmain(int argc, TCHAR* argv[])
{
    if( argc != 4 )
    {
        usage();
        return 1;
    }

    // adjust privilege
    _EnableNTPrivilege(SE_DEBUG_NAME, SE_PRIVILEGE_ENABLED);

    // InjectDll.exe <i|e> <PID> <dll_path>
    if( !_tcsicmp(argv[1], L"i") )
        InjectDll((DWORD)_tstoi(argv[2]), argv[3]);
    else if(!_tcsicmp(argv[1], L"e") )
        EjectDll((DWORD)_tstoi(argv[2]), argv[3]);

    return 0;
}

hookiat.dll

// include
#include "stdio.h"
#include "wchar.h"
#include "windows.h"


// typedef
typedef BOOL (WINAPI *PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString);


// globals
FARPROC g_pOrgFunc = NULL;


// 自定用于勾取的替代函数
BOOL WINAPI MySetWindowTextW(HWND hWnd, LPWSTR lpString)
{
    wchar_t* pNum = L"零一二三四五六七八九";
    wchar_t temp[2] = {0,};
    int i = 0, nLen = 0, nIndex = 0;

    nLen = wcslen(lpString);
    for(i = 0; i < nLen; i++)
    {
        // 将阿拉伯数字转换为中文数字
        //   lpString 是wide-character (2 byte) 字符串
        if( L'0' <= lpString[i] && lpString[i] <= L'9' )
        {
            temp[0] = lpString[i];
            nIndex = _wtoi(temp);
            lpString[i] = pNum[nIndex];
        }
    }

    // user32!SetWindowTextW() API 

    return ((PFSETWINDOWTEXTW)g_pOrgFunc)(hWnd, lpString);
}


// hook_iat

BOOL hook_iat(LPCSTR szDllName, PROC pfnOrg, PROC pfnNew)
{
    HMODULE hMod;
    LPCSTR szLibName;
    PIMAGE_IMPORT_DESCRIPTOR pImportDesc; 
    PIMAGE_THUNK_DATA pThunk;
    DWORD dwOldProtect, dwRVA;
    PBYTE pAddr;

    // hMod, pAddr = ImageBase of calc.exe
    //             = VA to MZ signature (IMAGE_DOS_HEADER)
    hMod = GetModuleHandle(NULL);
    pAddr = (PBYTE)hMod;

    // pAddr = VA to PE signature (IMAGE_NT_HEADERS)
    pAddr += *((DWORD*)&pAddr[0x3C]);

    // dwRVA = RVA to IMAGE_IMPORT_DESCRIPTOR Table
    dwRVA = *((DWORD*)&pAddr[0x80]);

    // pImportDesc = VA to IMAGE_IMPORT_DESCRIPTOR Table
    pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hMod+dwRVA);

    for( ; pImportDesc->Name; pImportDesc++ )
    {
        // szLibName = VA to IMAGE_IMPORT_DESCRIPTOR.Name
        szLibName = (LPCSTR)((DWORD)hMod + pImportDesc->Name);
        if( !_stricmp(szLibName, szDllName) )
        {
            // pThunk = IMAGE_IMPORT_DESCRIPTOR.FirstThunk
            //        = VA to IAT(Import Address Table)
            pThunk = (PIMAGE_THUNK_DATA)((DWORD)hMod + 
                                         pImportDesc->FirstThunk);

            // pThunk->u1.Function = VA to API
            for( ; pThunk->u1.Function; pThunk++ )
            {
                if( pThunk->u1.Function == (DWORD)pfnOrg )
                {
   // 这里是编程中容易遗忘的部分,它充分的考虑到了内存的权限问题
   //更改内存属性
                    VirtualProtect(
                    (LPVOID)&pThunk>u1.Function, 
                              4,                                                                   PAGE_EXECUTE_READWRITE, 
                           &dwOldProtect);

                    // IAT值修改
                 pThunk->u1.Function = (DWORD)pfnNew;

                    // 恢复内存属性
              VirtualProtect(
              (LPVOID)&pThunk->u1.Function, 
                                   4, 
                                   dwOldProtect, 
                                   &dwOldProtect);                      

                    return TRUE;
                }
            }
        }
    }

    return FALSE;
}



BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    switch( fdwReason )
    {
        case DLL_PROCESS_ATTACH : 
            // 保存原API地址
            g_pOrgFunc = GetProcAddress(GetModuleHandle(L"user32.dll"),                                             "SetWindowTextW");

            // # hook 
  // 用hookiat!MySetWindowText()勾取user32!SetWindowTextW()
            hook_iat("user32.dll", g_pOrgFunc, (PROC)MySetWindowTextW);
            break;

        case DLL_PROCESS_DETACH :
            // # unhook
            // 将calc.exe IAT恢复原值
            hook_iat("user32.dll", (PROC)MySetWindowTextW, g_pOrgFunc);
            break;
    }

    return TRUE;
}

小结:
整个思路不算复杂,但是实际编程中有一些需要注意的细节不能出错,否则就会是函数勾取失败,比如DLL注入中额提权操作一定是不能遗忘,还有在IAT地址替换的过程中通过查找IID结构,再一步一步查找IAT中的函数地址也是需要很熟悉PE文件结构才能准确查找的,对IID查找流程中的编码我现在也不太明白代码如下,是比较通用查找流程

// hMod, pAddr = ImageBase of calc.exe
    //             = VA to MZ signature (IMAGE_DOS_HEADER)
    hMod = GetModuleHandle(NULL);
    pAddr = (PBYTE)hMod;

    // pAddr = VA to PE signature (IMAGE_NT_HEADERS)
    pAddr += *((DWORD*)&pAddr[0x3C]);

    // dwRVA = RVA to IMAGE_IMPORT_DESCRIPTOR Table
    dwRVA = *((DWORD*)&pAddr[0x80]);

    // pImportDesc = VA to IMAGE_IMPORT_DESCRIPTOR Table
    pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hMod+dwRVA);

    for( ; pImportDesc->Name; pImportDesc++ )
    {
        // szLibName = VA to IMAGE_IMPORT_DESCRIPTOR.Name
        szLibName = (LPCSTR)((DWORD)hMod + pImportDesc->Name);
        if( !_stricmp(szLibName, szDllName) )
        {
            // pThunk = IMAGE_IMPORT_DESCRIPTOR.FirstThunk
            //        = VA to IAT(Import Address Table)
            pThunk = (PIMAGE_THUNK_DATA)((DWORD)hMod + 
                                         pImportDesc->FirstThunk);

            // pThunk->u1.Function = VA to API

找到IID结构体之后,还需要了解INT和IAT指向的IMAGE_THUNK_DATA结构体才能准确查找API地址

typedef struct _IMAGE_THUNK_DATA32 {
union {
PBYTE ForwarderString;
PDWORD Function;
DWORD Ordinal;
PIMAGE_IMPORT_BY_NAME AddressOfData;
} u1;
} IMAGE_THUNK_DATA32;

ForwarderString 指向一个转向者字符串的RVA;
Function 被输入的函数的内存地址;
Ordinal 被输入的API的序数值
AddressOfData 指向IMAGE_IMPORT_BY_NAME
IID结构的查找在内存中汇编表现为[EDI+3C]、[EDI+EAX+80],只要看到此特征,就能猜测它正在查找IID,整个过程到此结束,对于编程过程中的一些细节以后还需要花时间去整理,对此项技术与其他技术的结合使用也还需要进一步去探索,离找工作时间有限,先了解核心思想为先、、、

coulson!
关注
DLL注入之全局钩子注入
Jeeseen123的博客
09-08 580
DLL注入之全局钩子注入 0x00 HOOK概述 Hook也就是钩子,在Windows中大部分的应用程序都是基于消息机制,会根据不同的消息使用消息过程函数完成不同的功能。而钩子是一种消息处理机制,它可以比你的应用程序先获得消息,可以用来截获、监视系统的消息,改变执行流程实现特定的功能。对于全局钩子来说,它会影响所有应用程序,所以钩子函数必须在DLL中实现。 0x01 函数介绍 SetWindowsHookEx 作用: 将程序定义的钩子函数安装到挂钩链中,安装钩子的程序可以监视系统是否存在某些类型的时间,这些
关于dll注入方式的学习(全局钩子注入
2201_75856701的博客
02-11 1186
如果钩子函数的实现代码在DLL中,则在对应事件发生时,系统会把这个DLL加较到发生事体的进程地址空间中,使它能够调用钩子函数进行处理。在操作系统中安装全局钩子后,只要进程接收到可以发出钩子的消息,全局钩子DLL文件就会由操作系统自动或强行地加载到该进程中。一般钩子分局部钩子与全局钩子,局部钩子一般用于某个线程,而全局钩子一般通过dll文件实现相应的钩子函数。这个api,主要是第一个参数,这里传入钩子的句柄的话,就会把当前钩子传递给下一个钩子,若参数传入0则对钩子进行拦截。类型的全局钩子DLL
键盘钩子函数注入dll
du_bingbing的博客
11-30 1615
// dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "stdio.h" #include "windows.h" HINSTANCE g_hInstance=NULL; HHOOK g_hHook = NULL; HWND g_hwnd = NULL; #define DEF_PROCESS_NAME "www.exe
Python中钩子函数的实现方式
最新发布
m0_46322965的博客
07-01 321
在Python中,钩子函数(Hook)是一种允许你在程序执行的特定点插入自定义代码的技术。它本质上是一种回调机制,当特定事件发生时自动调用预先注册的函数
利用钩子DLL注入的方法及通讯源码.rar(C++)
03-06
利用钩子DLL注入的方法及通讯源码,借鉴用于WAI GUA开发
DLL钩子
zhucsahhf的博客
07-10 447
// The following ifdef block is the standard way of creating macros which make exporting // from a DLL simpler. All files within this DLL are compiled with the HOOK_EXPORTS // symbol defined on th
DLL注入——使用全局钩子
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 2747
因为进程的地址空间是独立的,发生对应事件的进程不能调用其他进程地址空间的钩子函数。如果钩子函数的实现代码在DLL中,则在对应事件发生时,系统会把这个DLL加载到发生事件的进程地址空间中,使它可以调用钩子函数进行处理。所以只要在系统中安装了全局钩子,那么只要进程接收到可以发出钩子的消息,全局钩子DLL就会被系统自动或者强行加载到进程空间中,这就可以实现DLL注入。);参数1:表示要安装的挂钩类型。参数2:表示的是钩子的回调函数。参数3:包含由lpfn参数执行的钩子过程的DLL句柄。
hook 注入-远程注入-dll注入.rar
09-22
DLL注入技术的核心在于使用Windows API函数如CreateRemoteThread或SetWindowsHookEx实现代码注入。这种技术允许开发者在不修改目标程序的情况下,为其添加新的功能或修改其行为。然而,在安全领域,DLL注入也是一种...
windows-DLL注入
08-14
DLL注入是指在不修改目标进程的情况下,将一个DLL加载到目标进程中,使得目标进程能够执行注入DLL中定义的函数。这种技术可以用来监控或改变目标进程的行为,或者提供额外的功能。 **DLL注入的工作原理** DLL...
使用全局和线程钩子注入DLL.rar
08-04
在“使用全局和线程钩子注入DLL”的主题中,你将学习如何结合这些技术来创建和管理钩子,以及如何将包含钩子函数DLL注入到其他进程中。提供的PDF文档很可能会详细解释这些概念,并给出实际的代码示例,可能包括...
易语言内存DLL注入模块源码-易语言
06-13
在这个“易语言内存DLL注入模块源码”中,我们将探讨关于内存DLL注入以及易语言如何实现这一技术的知识点。 首先,我们需要了解DLL(动态链接库)是什么。DLL是Windows操作系统中的一个重要组件,它包含了一组可被...
线程钩子和键盘钩子dll注入)模块+例程
07-28
线程钩子和键盘钩子dll注入)模块+例程
逆向dll中的函数及通过函数api钩子获取dll中的全局或是const变量值
04-15
逆向dll中的函数及通过函数api钩子获取dll中的全局或是const变量值
HooKIAT_dll
07-03
修改IAT表实现HOOK,windows应用程序捆绑核心编程一书中的源代码之一。
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK可以通过dll载入进程HOOK指定的函数,例如LoadLibraryA GetProcAddress 等等
DLL初步和钩子入门
weixin_30239339的博客
09-27 113
1: 首先来个静态链接库的。 //文件:lib.h#ifndef LIB_H#define LIB_Hextern "C" int add(int x,int y); //声明为C编译、连接方式的外部函数#endif//文件:lib.cpp#include "lib.h"int add(int x,int y){return x + y;} 这个静态链接库就一个加法操作,以后的例子都一样。ex...
DLL注入--设置消息钩子
王二娃的生活的博客
06-27 4267
通过设置消息钩子,达到和dll注入相同的目的,但这个方法与其他DLL注入方法又不一样,它不会把自己的DLL加载到目标进程,所以也就实现不来DLL的隐藏,这样很容易被杀软KILL掉,亲测360秒杀,但实现简单还有有相当的应用场景,下面是一个通用的消息勾取主函数,它将关键的消息勾取函数SetWindowsHookEx函数放到了DLL当中,通过DLL调用来实现消息勾取,因为此逻辑相对简单,此处就不详细介绍
DLL注入技术之消息钩子注入
125096
03-22 1612
消息钩子注入原理是利用Windows 系统中SetWindowsHookEx()这个API,他可以拦截目标进程的消息到指定的DLL中导出的函数,利用这个特性,我们可以将DLL注入到指定进程中。主要流程如下图所示 1.准备阶段     需要编写一个DLL,并且显式导出MyMessageProc()函数,主要代码如下: LRESULT WINAPI MyMessageProc(int
DLL全局钩子
hawind的专栏
05-31 921
DLL全局钩子// 以下使用内存映射文件共享数据来保存键盘钩子Dll句柄 // 运行此程序:触发程序加载完Dll后,对其他系统内有键盘响应事件的程序自己挂钩// 而即使触发程序死亡,DLL还是会达到监控键盘响应事件自动挂钩的目的// 直到你按下Ctrl+F组合键DLL才从内存中卸载.library sysinfo;uses  windows;const BUFFER_SIZE = 16 * 
VC++实现API钩子DLL注入技术解析
DLL注入常用于扩展程序功能、添加钩子(Hook)、执行监控或修改程序行为等场景。 - 上述标题表明,源代码是使用VC++(Visual C++,微软的C++开发环境)编写的,实现了API Hook和DLL注入功能。 ### 描述知识点: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值