【一分钟学C++】Windows API Hook基本原理

于 2024-11-28 21:41:09 发布
阅读量655 收藏 14
点赞数 6
分类专栏: C++那些事儿 文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rainInSunny/article/details/144121373
版权

在这里插入图片描述

竹杖芒鞋轻胜马,谁怕?一蓑烟雨任平生~
公众号: C++学习与探索  |  个人主页: rainInSunny  |  个人专栏: Learn OpenGL In Qt

文章目录

基本概念

  Detours定义了三个概念:

  • Target 函数:要拦截的函数,通常为 Windows 的 API。
  • Trampoline 函数:Target 函数的复制品。因为 Detours 将会改写 Target 函数,所以先把 Target 函数复制保存好,一方面仍然保存 Target 函数的过程调用语义,另一方面便于以后的恢复。
  • Detour 函数:用来替代 Target 函数的函数。

拦截过程

  拦截前:

targetFunction:
// targetFunction 入口,下面是常见的入口处指令,保存各个寄存器上下文环境
push ebp
mov ebp, esp
push eax
push ebx

// 后续为 targetFunction 继续部分
......

  拦截后:

targetFunction:
// 此时 targetFunction 入口被修改,跳转到 detourFunction
jmp detourFunction

// 后续为 targetFunction 继续部分
......

trampolineFunction:
// trampolineFunction 函数入口,开头的 5 个字节与 targetFunction 相同
push ebp
mov ebp, esp
push eax
push ebx
// 跳回去继续执行 trampolineFunction
jmp targetFunction + 5

  可以看出拦截前后相比,targetFunction 的入口处 5 个字节被修改了,改成了 jmp detourFunction(该指令也占 5 个字节),这样保证其它地方调用 targetFunction 时会走到我们定义的 detourFunction。其次 trampolineFunction 的入口会被设置为和原来 targetFunction 入口处 5 个字节相同的逻辑,然后会执行 jmp targetFunction + 5 的逻辑,这样在 detourFunction 中调用 trampolineFunction,经过 trampolineFunction 的重新路由,恢复了原来 targetFunction 的调用。

代码测试

  测试代码和前一篇文章中一样:

#include <Windows.h>
#include "detours/detours.h"

#pragma comment(lib, "detours.lib")

static int (WINAPI* OLD_MessageBoxW)(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) = MessageBoxW;


int WINAPI New_MessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCation, UINT uType)
{
	int ret = OLD_MessageBoxW(hWnd, L"HOOK完成", L"[测试]", uType);
	return ret;
}

void HOOK()
{
	DetourRestoreAfterWith();
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());

	DetourAttach(&(PVOID&)OLD_MessageBoxW, New_MessageBoxW);

	DetourTransactionCommit();
}

void UnHook()
{
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());

	DetourDetach(&(PVOID&)OLD_MessageBoxW, New_MessageBoxW);

	DetourTransactionCommit();
}

int main()
{
	::MessageBoxW(NULL, L"正常消息框", L"测试", MB_OK);
	HOOK();
	::MessageBoxW(NULL, L"正常消息框", L"测试", MB_OK);
	UnHook();
	return 0;
}

  这里测试环境为 x64,可能与上面描述稍有不同。
在这里插入图片描述
  图中是原始的 MessageBoxW 的汇编过程,也就是上面说的 targetFunction,这里第一二行可以认为是在进行寄存器上下文准备,第三行 00007FF82ACFA007 这个地址开始函数过程。
在这里插入图片描述
  图中是替换后的 MessageBoxW 的汇编过程,可以看出第一行变成了 jump 到一个地址。
在这里插入图片描述
  汇编单步调试发现最后 jump 到了 New_MessageBoxW 入口,也就是 detourFunction,在 New_MessageBoxW 中最后调用了 OLD_MessageBoxW,也就是上面说的 trampolineFunction。
在这里插入图片描述
  在调用 OLD_MessageBoxW 过程中,首先进行了寄存器上下文的准备,这和原始 MessageBoxW 汇编调用第一二行是相同的,然后进行了跳转。
在这里插入图片描述
  继续汇编调试,显示跳转的地址就是 00007FF82ACFA007,也就是原始 MessageBoxW 汇编开始函数过程的地方,这样就实现了恢复原始函数调用的目的。

关注公众号:C++学习与探索,有惊喜哦~

C++开发值得推荐的十大高效软件分析工具
dvlinker的技术专栏
06-16 1万+
本文详细讲述在Windows C++软件的日常开发和维护的过程中用到的一些常用工具,借助这些工具,可以高效快速地分析和排查软件开发调试过程中遇到的各种问题。
C++软件开发值得推荐的十大高效软件分析工具
dvlinker的技术专栏
10-31 2万+
本文系统地介绍了Dependency Walker、GDIView、Process Explorer/Process Hacker、Process Monitor、API Monitor、Clumsy、Windbg、IDA Pro等常用软件问题分析工具,并给出使用这些工具分析项目问题的实战分析实例。
HOOK Windows API
flowwaterdog的博客
04-26 588
HOOK Windows API 只能HOOK 本地的API,适用于入门HOOK API的一般步骤: 1.定义假API函数 假API函数,除了函数名称和真API不一样之外,其它的都要跟真API的定义相同,如参数类型和返回值、调用形式等。 int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType...
Windows API Hook
热门推荐
friendan的专栏
10-02 3万+
原文地址:http://blog.sina.com.cn/s/blog_628821950100xmuc.html 原文对我的帮助极大,正是因为看了原文,我才会了HOOK,鉴于原文的排版不是很好, 又没有原工程例子源码下载,因此我决定对其重新整理,文章后面附有我测试时的工程源码下载地址。 注:我测试的环境为Win7+VS2008+MFC -------------------------
Windows API HOOK
Utopia的专栏
07-30 1057
HOOK技术是当前用于Windows API拦截的主要技术,许多应用程序的功能都以HOOK技术为基础核心技术进行扩展实现。 以屏幕取词为例,通过安装鼠标钩子,拦截TextOut()、ExtTextOut()等函数,当应用程序收到WM_PAINT消息后,正常系统函数被拦截,跳转至钩子函数完成取词翻译等工作。 Intel的CPU制定Ring0、Ring1、Ring2、Ring3四个特权级别,Window
windows api hook
reaL's Blog
04-26 1060
windows api hook
python api框架 hook_5 分钟读懂Python 中的 Hook 钩子函数
weixin_39686353的博客
12-09 725
1. 什么是Hook经常会听到钩子函数(hook function)这个概念,最近在看目标检测开源框架mmdetection,里面也出现大量Hook的编程方式,那到底什么是hookhook的作用是什么?what is hook ?钩子hook,顾名思义,可以理解是一个挂钩,作用是有需要的时候挂一个东西上去。具体的解释是:钩子函数是把我们自己实现的hook函数在某一时刻挂接到目标挂载点上。hook...
Hook MessageBox
04-12
在"10分钟Hook MessageBox 源代码"这个标签下,我们可以预期这是一个快速上手的教程,指导开发者如何在短时间内实现对MessageBox APIHook。通常,这样的教程会包括以下步骤: 1. **引入Detour库**:首先,你需要...
Win32 SDK Gui编程系列之--键盘钩子技术(KeyBoard Hook)
最新发布
weixin_55465758的博客
02-04 886
然后,进行鼠标光标的覆盖,但在全屏复制和活动窗口复制时,修正值是不同的。完成包含鼠标光标的位图后,清空剪切板,并将更新的位图重新设置到剪切板中。使用窗口的标准功能,即PrtScr键和Alt键+PrtScr键时,不会包含鼠标光标的图像,但下面的程序包括了鼠标光标。F6和F7键也用于假名汉字转换,所以只有在执行包含鼠标光标的屏幕截图时,才启用这个键盘钩子,并在使用完毕后重置。屏幕截图(Windows8) 之前创建的基于键盘钩子的屏幕截图程序,在Windows7中运行良好,但在Windows8中出现了一些不便。
C# 优雅的 APIHOOK 支持X86+X64源码
09-21
using System; using System.Runtime.InteropServices; namespace NativeHook.Test { public delegate Int32 MessageBoxW(IntPtr hWnd, [MarshalAs(UnmanagedType.LPWStr)] string lpText, [MarshalAs(UnmanagedType.LPWStr)] string lpCaption, UInt32 uType); public class MessageBoxHook : NtAPIHook { [DllHook("user32", EntryPoint = "MessageBoxW")] public Int32 MessageBox(IntPtr owner, string text, string caption, UInt32 options) { //拦截信息 Console.Title = caption; Console.WriteLine(text); //调用源函数 return Origin.Invoke(owner, text, caption, options); } } } [STAThread] static void Main(string[] args) { using (var hook = new MessageBoxHook()) { //绕过Hook直接调用源函数 hook.Origin(IntPtr.Zero, "111", "222", 0); //调用ApiHook MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); } //Hook解除拦截不到 MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); }
C#HookApi之MessageBox
10-20
C#HookApi之MessageBox
Detours库Windows API Hook
南宫封清的博客
02-24 8471
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
Windows Hook Api
是我
12-14 423
今天在写Hook ws2_32 的函数send的时候,发现总是让程序崩溃, 崩溃的时候程序的崩溃点总是在ws2_32的模块中,最后发现在调用Hook函数时候,我进行了还原, 还原的保护代码是PAGE_READWRITE,这样子导致其他线程在执行对应的地址代码产生了一个执行错误的代码! 哎,太久没有使用逆向了,导致就生疏了! 具体原因是: VirtualProtect ( pOld
WindowsAPI Hook 技术
weixin_30298497的博客
01-16 377
1 前言 在Micrisoft Windows中, 每个进程都有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的自制空间的一个内存地址。进程不能创建一个指针来引用属于其他进程的内存。 独立的地址控件对开发人员和用户来说都是非常有利的。对开发人员来说,系统更有可能捕获错误的内存读\写。对用户而言, 操作系统变得更加健...
Windows API hooking.简单的C++例子
Meta.Qing的博客
08-29 741
API hook是一种技术,通过它我们可以测量和修改API调用的行为和流。许多反病毒解决方案也使用这种技术来检测代码是否为恶意代码。示例1在挂接windows API函数之前,我将考虑如何从DLL中导出函数。正如你所看到的,这个DLL有最简单的导出函数:Cat, Mouse, Frog, Bird和一个参数。正如您所看到的,这个函数的逻辑是最简单的,只是带有标题的弹出消息。...
Windows内核API HOOK 之 Inline Hook
oneVs1的专栏
10-14 2363
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。InlineHook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(InlineAssembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓APIHook,就是用自己写的
Windows Hook经验总结之一:API Hook方法汇总
ITer之家
11-17 5399
HOOK的目的是用我们自己的代码取代一些函数的代码以改变程序的行为。 静态HOOK:在进程运行前挂钩,采用用户级进程即可完成。比如:有些程序会在启动时需要原光盘,如果我们修改获取驱动类型的函数则可以从硬盘启动。 动态HOOK:挂钩系统进程(如服务)时要动态挂钩 本文介绍常见的hook方法和实现机制。
C# inline-hook / api-hook
weixin_34034261的博客
07-24 227
我查阅了一下相关C#方面的资料,却没有发现有提供过关于api-hook方面的资 料包括应用库由此本人编写一套inline-hook的库用于支持x64、x86上的基于在 clr的公共语言,如: c#、c+/clr、vb.net 全部都可以使用该类库改变底层api执 行结果,如我们需要制作抓包工具,或者拦截某个ActiveX对象内部调用的函数  用处广泛 有些人在制作“截包”工具时是通过使用S...
5分钟无操作自动关闭程序的Qt实现
- 开发工具:Visual Studio 2017,这是一个集成开发环境,广泛应用于C++、C#等多种编程语言的开发,适用于Windows平台。 - 应用框架:Qt 5.14.2,这是一个跨平台的应用程序框架,主要用于开发图形用户界面(GUI)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值