windows 下实现函数打桩:拦截API方式

最新推荐文章于 2024-11-22 10:18:22 发布
最新推荐文章于 2024-11-22 10:18:22 发布
阅读量425 收藏
点赞数
本文介绍了在Windows环境下实现函数打桩的三种方法,并详细解释了如何通过改变函数首地址的内存来实现对函数的拦截。同时提供了具体的C/C++代码示例,包括打桩和清桩的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

windows 下实现函数打桩:拦截API方式

时间 2014-07-19 05:39:19   优快云博客
原文   http://blog.youkuaiyun.com/liaoyoujinb/article/details/37953755
主题  Windows  API

windows 下实现函数打桩:拦截API方式

最近因为工作需要,开始研究函数打桩的方法。由于不想对工程做过多的修改,于是放弃了使用Google gmock的想法。但是也足足困扰另外我一天一宿。经过奋战,终于有所收获。闲话少说,开始看看有什么方法。

一、基础准备

1. 函数调用的原理 :通过函数名( 函数的入口地址 )对函数进行访问,假设我们能够改变函数首地址指向的内存的话,使其跳转到另一个函数去执行的话,那么就可以实现函数打桩了。

2. 方法 :对函数首地址出写入一条汇编语言 jmp xxx (其中xxx是要跳转的相对地址)。

3. 令原函数为oldFun,新函数为newFun,那么打桩时函数跳转的相对地址 offset = newFun - oldFun - (我们制定的这条指令的大小),此处为绝对跳转指令的长度=5。  jmp xxx一共6字节。

函数:

1.  VirtualQuery

WINBASEAPI
SIZE_T
WINAPI
VirtualQuery(
    __in_opt LPCVOID lpAddress,   //所查内存地址
    __out_bcount_part(dwLength, return) PMEMORY_BASIC_INFORMATION lpBuffer,   //保存内存区域的buffer
    __in     SIZE_T dwLength                                                  //信息长度                                                
    );
该函数用于查询 某一段内存区域的内存信息,事实VirtualQueryEx也可以使用。

2. VirtualProtect

WINBASEAPI
BOOL
WINAPI
VirtualProtect(
  __in  LPVOID lpAddress,
  __in  SIZE_T dwSize,
  __in  DWORD flNewProtect,
  __out PDWORD lpflOldProtect
  );
该函数用于修改指定内存区dwSize个字节的保护模式。

3. VirtualProtectEx

WINBASEAPI
BOOL
WINAPI
VirtualProtectEx(
  __in  HANDLE hProcess,   //进程句柄
  __in  LPVOID lpAddress,  //需要修改的内存首地址
  __in  SIZE_T dwSize,	 //修改的字节数
  __in  DWORD flNewProtect,  //新的保护属性
  __out PDWORD lpflOldProtect  //旧的保护属性
  );
VirtualProtectEx 用于改变指定进程内存段的保护模式,默认情况下函数的内存空间不可写,这就是为什么要用改变保护属性的函数。

4. ReadProcessMemory

WINBASEAPI
BOOL
WINAPI
ReadProcessMemory(
  __in	  HANDLE hProcess,
  __in	  LPCVOID lpBaseAddress,
  __out_bcount_part(nSize, *lpNumberOfBytesRead) LPVOID lpBuffer,
  __in	  SIZE_T nSize,
  __out_opt SIZE_T * lpNumberOfBytesRead
  );

读取进程内存,lpProcess是首地址,而lpBuffer用于保存读出的数据,nSize是需要读出的字节数。

5. WriteProcessMemory

WINBASEAPI
BOOL
WINAPI
WriteProcessMemory(
  __in	  HANDLE hProcess,
  __in	  LPVOID lpBaseAddress,
  __in_bcount(nSize) LPCVOID lpBuffer,
  __in	  SIZE_T nSize,
  __out_opt SIZE_T * lpNumberOfBytesWritten
  );
该函数用于写进程的内存空间,可以向进程内存注入想要注入的数据,例如函数等。

6. GetCurrentProcess

WINBASEAPI
__out
HANDLE
WINAPI
GetCurrentProcess(
    VOID
    );

该函数返回一个伪进程句柄0xffffffff,任何需要进程句柄的内存都可以使用它。

二、对库中API打桩

方案一:

打桩:

#define FLATJMPCODE_LENGTH 5			//x86 平坦内存模式下,绝对跳转指令长度
#define FLATJMPCMD_LENGTH  1			//机械码0xe9长度
#define FLATJMPCMD		 0xe9		 //对应汇编的jmp指令

// 记录被打桩函数的内容,以便恢复
BYTE g_apiBackup[FLATJMPCODE_LENGTH+FLATJMPCMD_LENGTH];

BOOL setStub(LPVOID ApiFun,LPVOID HookFun)
{
  BOOL	IsSuccess = FALSE;
  DWORD   TempProtectVar;			  //临时保护属性变量
  MEMORY_BASIC_INFORMATION MemInfo;	//内存分页属性信息
  
  VirtualQuery(ApiFun,&MemInfo,sizeof(MEMORY_BASIC_INFORMATION));
  
  if(VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize,
    PAGE_READWRITE,&MemInfo.Protect))							//修改页面为可写
  {
    memcpy((void*)g_apiBackup,(const void*)ApiFun, sizeof(g_apiBackup));

    *(BYTE*)ApiFun = FLATJMPCMD;								 //拦截API,在函数代码段前面注入jmp xxx
    *(DWORD*)((BYTE*)ApiFun + FLATJMPCMD_LENGTH) = (DWORD)HookFun -
      (DWORD)ApiFun - FLATJMPCODE_LENGTH;
    
    VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize,
      MemInfo.Protect,&TempProtectVar);						//改回原属性
    
    IsSuccess = TRUE;
  }
  
  return IsSuccess;
}
清桩: 
BOOL clearStub(LPVOID ApiFun)
{
  BOOL	IsSuccess = FALSE;
  DWORD   TempProtectVar;			  //临时保护属性变量
  MEMORY_BASIC_INFORMATION MemInfo;	//内存分页属性信息
  
  VirtualQuery(ApiFun,&MemInfo,sizeof(MEMORY_BASIC_INFORMATION));
  
  if(VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize,
    PAGE_READWRITE,&MemInfo.Protect))							//修改页面为可写
  {
    memcpy((void*)ApiFun, (const void*)g_apiBackup, sizeof(g_apiBackup));  //恢复代码段
    
    VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize,
      MemInfo.Protect,&TempProtectVar);						//改回原属性
    
    IsSuccess = TRUE;
  }
  
  return IsSuccess;
}

方案二:

打桩:

bool setStub(LPVOID ApiFun,LPVOID HookFun)
{
  HANDLE file_handler = GetCurrentProcess();           //获取进程伪句柄
  DWORD oldProtect,TempProtectVar;
  char newCode[6];                                     //用于读取函数原有内存信息
  int SIZE = FLATJMPCODE_LENGTH+FLATJMPCMD_LENGTH;     //需要修改的内存大小
  if(!VirtualProtectEx(file_handler,ApiFun,SIZE,PAGE_READWRITE,&oldProtect))  //修改内存为可读写
  {
    return false;
  }
  if(!ReadProcessMemory(file_handler,ApiFun,newCode,SIZE,NULL))              //读取内存
  {
    return false;
  }
  memcpy((void*)g_apiBackup,(const void*)newCode, sizeof(g_apiBackup));      //保存被打桩函数信息
  *(BYTE*)ApiFun = FLATJMPCMD;                                    
        *(DWORD*)((BYTE*)ApiFun + FLATJMPCMD_LENGTH) = (DWORD)HookFun - (DWORD)ApiFun - FLATJMPCODE_LENGTH;   //桩函数注入 
    VirtualProtectEx(file_handler,ApiFun,SIZE,oldProtect,&TempProtectVar);  //恢复保护属性
}
清桩: 
bool clearStub(LPVOID ApiFun)
{
  BOOL	IsSuccess = FALSE;
  HANDLE file_handler = GetCurrentProcess();
  DWORD oldProtect,TempProtectVar;
  int SIZE = FLATJMPCODE_LENGTH+FLATJMPCMD_LENGTH;
  if(VirtualProtectEx(file_handler,ApiFun,SIZE,PAGE_READWRITE,&oldProtect))
  {
    memcpy((void*)ApiFun, (const void*)g_apiBackup, sizeof(g_apiBackup));			 //恢复被打桩函数内存
    VirtualProtectEx(file_handler,ApiFun,SIZE,oldProtect,&TempProtectVar);
    IsSuccess = TRUE; 
  }
  
  return IsSuccess;
}

方案三:

打桩:

bool setStub(LPVOID ApiFun,LPVOID HookFun)
{
  HANDLE file_handler = GetCurrentProcess();
  DWORD oldProtect,TempProtectVar;
  char newCode[6];
  int SIZE = FLATJMPCODE_LENGTH+FLATJMPCMD_LENGTH;
  if(!ReadProcessMemory(file_handler,ApiFun,newCode,SIZE,NULL))
  {
    return false;
  }
  memcpy((void*)g_apiBackup,(const void*)newCode, sizeof(g_apiBackup));
  *(BYTE*)newCode = FLATJMPCMD;									
  *(DWORD*)((BYTE*)newCode + FLATJMPCMD_LENGTH) = (DWORD)HookFun - (DWORD)ApiFun - FLATJMPCODE_LENGTH;  
  if(!WriteProcessMemory(file_handler,ApiFun,newCode,FLATJMPCODE_LENGTH,NULL))
  {
    return false;
  }
}
 说来也怪,这个方案没有改变读取权限,居然也可以,这里写入的方式是用WriteProcessMemory来实现,与直接用指针同理。清桩同上。但是如果直接用指针来写就会出错,暂时不知道原因。

至此我们实现了函数的打桩,但是有个小小的问题,若仅仅是如此,对类函数中成员函数打桩有点小问题,指针无法转换,这是因为类成员函数的指针不仅仅是一个普通的指针,他还包括其他信息。所有这里需要解决这个问题,网上找到了两个方法:

1. 类的普通函数成员地址转换

LPVOID GetClassFnAddress(...)
{
  LPVOID FnAddress;
  __asm
  {
    lea eax,FnAddress
    mov edx,[ebp+8]	// ebp+8 为第一个形参的地址,ebp+C 为第二个形参的地址,以此类推
    mov [eax],edx
  }
  return FnAddress;
}

2. 类的虚成员函数地址转换

LPVOID GetClassVirtualFnAddress(LPVOID pthis,int Index) //Add 2010.8.6
{
    LPVOID FnAddress;
    *(int*)&FnAddress = *(int*)pthis;                       //lpvtable
    *(int*)&FnAddress = *(int*)((int*)FnAddress + Index);
    return FnAddress;
}

至此函数打桩的介绍告一段落。

风中纸屑
关注
怎么拦截系统函数
01-10 6476
 主  题:  怎么拦截系统函数?(超高度难题!)    在Dos下,我们可以拦截中断,用自己的处理替换系统中断,然后调用原来的中断,在Windows中,没有了中断,只有函数,那么我们如何来拦截系统的函数,然后我们的函数又调用原来的系统函数呢?比如说系统有一个GetSystemDirectory()函数,我想用我自己的函数替换它,经过我的函数MyGetSystemDirectory()进行处理,然
用hook代码实现函数设置功能
01-04
这是一段hook代码,可在linux(cygwin)以及windows下使用,可用于软件单元测试时函数打桩设置。
Windows系统API函数拦截技术研究
07-31
Windows系统API函数拦截技术研究
对接口类的函数打桩
toolkit1216的博客
05-07 655
//需要测试的类 RemoteNoticeEmailDSServiceImpl impl = new RemoteNoticeEmailDSServiceImpl(); EmailServerManager 是测试类中需要调用的接口 //对接口类的函数打桩 EmailServerManager emailAsService = [ setEmailServer:{arg-> ...
基于Hook技术在Linux和Windows平台实现函数打桩方法
【描述】:"这是一段hook代码,可在linux(cygwin)以及windows下使用,可用于软件单元测试时函数打桩设置。" 【知识点详细说明】: 1. Hook技术概述: Hook技术是一种在操作系统或应用程序执行过程中,通过一种...
Detours静态库实现32位程序API函数拦截
Detours是一个由微软提供并维护的库,它允许开发者拦截Win32 API调用和替换相应的函数,这个技术通常被称为函数钩子(function hooking)或函数打桩(function stubbing)。静态库意味着开发者可以直接将Detours库函数...
Windows x86环境下的打桩技术封装
Windows API提供了丰富的函数,使得开发者可以在用户模式(User Mode)和内核模式(Kernel Mode)下进行操作。打桩技术常用于调试、安全防护、性能分析等方面。 ### 封装x86打桩函数库的意义 封装一个x86的打桩...
cppstub如何对c的静态函数打桩
最新发布
03-20
最后,需要提醒用户注意静态函数打桩的局限性,建议在可能的情况下将静态函数改为非静态,或通过头文件暴露供测试使用,以便于打桩。</think>### 使用cpp-stub对C语言静态函数打桩的方法 #### 核心思路 在C语言中,...
c语言自动,静态方式实现Hook Method
weixin_35851508的博客
05-24 1034
通过fishhook拦截方法的局限性我之前写了一个开源库TimeProfiler,监控所有的OC方法耗时。可以在开发App阶段,很方便的看到主线程所有OC方法的耗时。但是由于TimeProfiler是通过fishhook基于运行时hook,所以从原理上,它就有局限性:不能选择hook部分类的OC方法。这造成2个很难解决的问题:不能选择hook一部分类的OC方法,全部hook会有性能问题,所以也不能...
单元测试中的动态打桩函数替换库(windows xp)
01-12
在单元测试中经常需要动态的替换被测函数调用的其他函数,这个替换叫做打桩,现在很少有动态打桩函数,研究了许久,写了这个功能,做成了lib库,在cygwin下生成的。 给出了一个Demo,使用makefile试一试吧! ps:我目前只在windowsxp下应用,其他平台未知!欢迎发邮件给我。 #include "stdio.h" #include "d_stub.h" void testfunc(int arg, int a, int b, int c) { printf("\tI am testFunc %d\n", arg); } void testfunc1(int arg, int a, int b, int c) { printf("\t******************\n\tI am stub function\n"); printf("\tArguments: %d %d %d %d\n\t******************\n", arg, a, b, c); } void testfunc2(int arg, int a, int b, int c) { printf("\tHello world\n"); } main() { stubInfo si, ss; printf("call original func:\n"); testfunc(1, 2, 3, 4); setStub(testfunc, testfunc1, &si); setStub(testfunc1, testfunc2, &ss); printf("after set stub for func1 and func2:\n"); testfunc(1, 2, 3, 4); cleanStub(&ss); /*recover testfunc1*/ printf("after clear stub for func2:\n"); testfunc(1, 2, 3, 4); cleanStub(&si); /*recover testfunc*/ printf("after clear stub for func1::\n"); testfunc(1, 2, 3, 4); }
函数打桩和hook
mr_gongcheng的专栏
03-27 6300
刚参加工作,总是听到PM分配任务的时候提到打桩的概念。查看项目代码的时候又碰到打桩函数中的HOOK技术。对于这两种技术我以前都没有接触过,在网上查了下资料,备份如下,希望对自己和他人都能有所帮助。   在软件测试的时候经常需要动态的替换被测函数调用的其它函数,而这个替换就叫做打桩。比如现在要测试函数A,但是函数A调用了还没有实现函数B,那么我们给函数B创造打桩函数STUB_B,STUB_B可
揭示win32 api拦截细节 转载自www.hookbase.com
www.pingfi.com
03-04 2394
揭示win32 api拦截细节 骇客基地 阅读: 3 时间:2007-3-4 3:56:06 来源:www.hookbase.com---------------------------------------------------------------
C++ windows 平台的 Hook
freeking101的博客
03-05 1207
From:https://www.jianshu.com/p/1cbde2276752 环境:vs 2019,添加Windows.h头文件。 核心函数:SetWindowsHookEx(),UnhookWindowsHookEx(),CallNextHookEx() 你可能在其他api文档看到SetWindowsHookExA、SetWindowsHookExW这两个函数,他们是编...
实验七——DLL劫持病毒的分析和清除
Onlyone_1314的博客
09-26 8282
【实验名称】 DLL劫持病毒的分析和清除 【实验目的】 掌握DLL劫持的原理 了解DLL劫持攻击的防御办法 【实验原理】 Windows2000之后的系统,将强制PE加载器首先在应用程序所在目录中搜索要加载的DLL,如果搜索不到才搜索其他目录。PE加载搜索DLL路径顺序由注册表中的键值决定,注册表路径如下:HKLM\System\CurrentControlSet\Control\Session Manager,中的SafeDllSearchMode键。 SafeDllSearchMode=1
什么是函数打桩
eehongzhijun的博客
08-31 534
函数打桩(Function Stubbing)是软件开发中的一个概念,指的是在测试或开发过程中,将一个函数的实际实现替代为一个简单的、预定义的版本,以便在特定场景下进行测试、模拟或调试。 通常情况下,函数打桩被用于以下几个目的: 测试驱动开发(TDD): 在编写测试用例时,可能需要测试一个函数在特定输入下的行为,但这时候可能其他依赖的组件尚未实现或不稳定。这时可以使用函数打桩来代替那些尚未完...
C语言的3种打桩方法总结
vc8的博客
06-03 1万+
前段时间项目组相对很久以前的工程做单元测试,由于比较久远内部逻辑复杂,外部依赖都比较多,所以想通过打桩方式(不但要对外部接口还得可以对内部函数)进行函数级别的单元测试。调查了几个方法记录一下,以备以后参照。 google的cmockery框架实现 优点很多,请大家自行google。 但cmockery不能对内部函数进行打桩,所以不满足我们要求。 ...
函数打桩相关内容及应用示例
weixin_41579872的博客
11-22 1081
例如,在测试高温情况下`control_temperature`函数的行为时,使用配置好返回高温值(如35°C)的`read_temperature_sensor_stub`函数,然后检查`control_temperature`函数是否正确启动了冷却设备(可以通过检查冷却设备的控制信号是否被触发,或者查看系统日志中是否有冷却设备启动的记录),以及系统状态是否正确切换到降温模式(检查相关状态变量的值)。-在函数`read_light_sensor_stub`中,可以模拟光传感器故障的情况。
单元测试中的打桩技术
热门推荐
鹏鹏的博客
07-01 2万+
一、是什么,或称代码,是指用来代替关联代码或者未实现代码的代码。如果用函数B1来代替B,那么,B称为原函数,B1称为函数打桩就是编写或生成代码。二、打桩的用途打桩的目的主要有:隔离、补齐、控制。①隔离是指将测试任务从产品项目中分离出来,使之能够独立编译、链接,并独立运行。隔离的基本方法就是打桩,将测试任务之外的,并且与测试任务相关的代码,用来代替,从而实现分离测试任务。例如函数A调用...
深入解析Windows API函数中文使用手册
- **相关函数:** 与当前函数相关或功能相似的其他API函数的链接。 通过阅读和学习Windows API手册,开发者可以更深入地了解Windows系统的内部工作原理,掌握如何利用这些函数解决实际问题,并提高Windows应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值