C++ 在Ring3下的通用API HOOK

最新推荐文章于 2024-06-22 16:45:39 发布
最新推荐文章于 2024-06-22 16:45:39 发布
阅读量141 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: c/c++
原文链接:http://www.cnblogs.com/AniX/archive/2010/10/26/1861693.html
本文详细介绍了一种实用的APIHook技术,通过使用push+ret跳转方式避免被安全工具发现,同时利用反汇编引擎确保HOOK的通用性。文章提供了HOOK、取消HOOK及HOOK检测的实现代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  说道API HOOK ,这已经是老掉牙的技术了,但是它的实用性却是不能忽视的。虽然在网上这类的文章很多,但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行,但是不通用,因为一些特殊函数的前5字节不是完整的,如果直接修改,就会截断指令,导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子,感觉想法很好,于是自己也写了一个。其中用到了一个头文件LDasm.h(里面实际就是一个轻量级的反汇编引擎,网上可以下载到)。

 

第一个函数用于对指定API进行HOOK,并返回一个进入原函数的代理函数地址。

 

代码 
 1 PVOID HookFunction(PCHAR ModuleName,PCHAR FunctionName,PVOID pNewFunction)
 2 {
 3 
 4     UCHAR JumpCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3};     //push xxxxxxxx ret
 5      UCHAR JumpBackCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3}; //push xxxxxxxx ret
 6      
 7     PVOID pSourceFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
 8     if (!pSourceFunction)return NULL;
 9 
10     *(ULONG *)((ULONG)JumpCode + 1) = (ULONG)pNewFunction;
11 
12 
13     PVOID pProxyFunction = 0;
14     PUCHAR pOpCode;
15     ULONG BackupLength = 0;
16 
17     
18     while (BackupLength < 6)
19     {
20         BackupLength += SizeOfCode((PVOID)((ULONG)pSourceFunction + BackupLength),&pOpCode);
21     }
22 
23 
24     pProxyFunction = VirtualAlloc(NULL,BackupLength + 6,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);
25     if (!pProxyFunction)return NULL;
26 
27     *(ULONG *)((ULONG)JumpBackCode + 1) = (ULONG)pSourceFunction + BackupLength;
28     
29     RtlCopyMemory(pProxyFunction,pSourceFunction,BackupLength);
30     RtlCopyMemory((PVOID)((ULONG)pProxyFunction + BackupLength),JumpBackCode,6);
31 
32     FlushInstructionCache((HANDLE)-1,pProxyFunction,BackupLength + 6);
33 
34     DWORD OldProtect = 0;
35     VirtualProtect(pSourceFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);
36 
37     RtlCopyMemory(pSourceFunction,JumpCode,6);
38 
39     VirtualProtect(pSourceFunction,6,OldProtect,&OldProtect);
40 
41     FlushInstructionCache((HANDLE)-1,pSourceFunction,6);
42 
43     return pProxyFunction;
44 
45 
46 }






  注意,在JumpCode和JumpBackCode中,我使用的是push+ret的方式进行跳转(跟网上一牛人学的),其目的是不用计算相对偏移,也不容易被一些安全工具发现。其中还有一个重要的函数——SizeOfCode(),它就是反汇编引擎里的一个函数,用于计算一个完整指令的长度,防止指令被截断,它是实现通用性的关键。


 


第二个函数用于恢复被HOOK的函数,它需要HookFunction函数返回的代理函数地址作为参数。


 


代码



 1 BOOL UnHookFunction(PCHAR ModuleName,PCHAR FunctionName,PVOID pProxyFunction)
 2 {
 3 
 4     PVOID pSourceFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
 5     if (!pSourceFunction)return FALSE;
 6     
 7     DWORD OldProtect = 0;
 8     VirtualProtect(pSourceFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);
 9 
10     RtlCopyMemory(pSourceFunction,pProxyFunction,6);
11 
12     VirtualProtect(pSourceFunction,6,OldProtect,&OldProtect);
13 
14     FlushInstructionCache((HANDLE)-1,pSourceFunction,6);
15 
16     BOOL res = VirtualFree(pProxyFunction,NULL,MEM_RELEASE);
17     if (!res)return FALSE;
18 
19     return TRUE;
20 
21 }






 


 


 这个函数很简单,只是做一些清理工作。


 


最后,我还写了个函数用于检查某个函数是否被HOOK,但只能检查出两种形式的HOOK,一种jmp形式,一种push+ret形式,不过也够用了。


 


代码



 1 BOOL IsFuncHooked(PCHAR ModuleName,PCHAR FunctionName)
 2 {
 3     PVOID pFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
 4     
 5     if (!pFunction)return FALSE;
 6 
 7     DWORD OldProtect = 0;
 8     VirtualProtect(pFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);
 9 
10     UCHAR chas = *(UCHAR *)((ULONG)pFunction + 5);
11 
12     if (((*(UCHAR *)pFunction == 0x68)&&(*(UCHAR *)((ULONG)pFunction + 5) == 0xC3))||(*(UCHAR *)pFunction == 0xEB)||(*(UCHAR *)pFunction == 0xEA))
13     {
14         VirtualProtect(pFunction,6,OldProtect,&OldProtect);
15         return TRUE;
16     }
17     else
18     {
19         VirtualProtect(pFunction,6,OldProtect,&OldProtect);
20         return FALSE;
21     }
22     
23 }






 


  好了,以上就是主要的三个函数。在说一下,我没有采用先HOOK,到调用原函数时又恢复HOOK的方法。因为这种方法效率不高,而且还不安全(尤其在多线程环境下)。所以我将原函数的前X个字节保存到另一个地方(即返回的代理函数地址),并在其后面加上回条指令(即JumpBackCode),跳到原函数的第X个指令后继续执行,这样就避免了对原函数的反复读写。


  最后,有不足之处还请高手指点。


转载于:https://www.cnblogs.com/AniX/archive/2010/10/26/1861693.html

                

        




    

    
  



    



                



	

		

			

				
					
屏幕取词编程学习总结

				
			

			

				

					bcbobo21cn的专栏
				

				

					04-22
					
					5668
					
				

			

		

		

			
				
屏幕取词的研究


现在词典市场金山词霸占了绝对优势,所以再做字典也没什么前途了。我就是这么认为的,所以我虽然


掌握了这项技术,却没去做字典软件。只做了一个和词霸相似的软件自己用,本来想拿出来做共享软件


,但我的词库是“偷”来的,而且词汇不多,所以也就算了,词库太小,只能取词有什么用呢?而且词


霸有共享版的。但既然很多人想了解这项技术,我也不会保留。我准备分多次

			
		

	



                

            
              



	

		

			

				
					
【ARM-Linux开发】linux下代码调试

				
			

			

				

					ZhangPY的专栏
				

				

					05-23
					
					4702
					
				

			

		

		

			
				
1. 使用printf调试#ifdef DEBUGPrintf(“valriable x has value = %d\n”, x)#endif然后在编译选项中加入-DDEBUG 更复杂的调试应用如:#define BASIC_DEBUG 1#define EXTRA_DEBUG 2#define SUPER_DEBUG 4 #if (DEBUG &amp;EXTRA_DEBUG)       p...

			
		

	



              


  
              

                


	

		

			

				
					
C++使用API Hooking(API钩子)实现抓取打印数据

					
最新发布

				
			

			

				

					qq_57661075的博客
				

				

					06-22
					
					1013
					
				

			

		

		

			
				
API Hooking(API钩子)是一种技术,允许你在程序调用特定API函数之前或之后插入自定义的代码,从而改变或监视其行为。在打印数据抓取的上下文中,你可以使用API钩子来捕捉应用程序发送给打印系统的原始数据。你的钩子函数应该复制或记录传入的数据,然后调用原始API以保证打印过程不受影响。以上是使用API Hooking技术抓取打印数据的一个基本框架,实际实现时可能需要根据具体的应用程序和操作系统版本做适当调整。在程序初始化时,使用Detours的API安装钩子,将你的钩子函数与目标API连接起来。

			
		

	





	

		

			

				
					
Hook API (C++) 

				
			

			

				

					jiangxinyu的专栏
				

				

					03-16
					
					5079
					
				

			

		

		

			
				
一、基本概念:钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子

			
		

	



		

			
		



	

		

			

				
					
通用32位apihook函数(hook socket)

				
			

			

				

					weixin_30347009的博客
				

				

					09-13
					
					244
					
				

			

		

		

			
				
C++代码部分

typedef int(__stdcall *send_)(SOCKET , const char* , int , int );
typedef int(__stdcall *recv_)(SOCKET, const char*, int, int);
int __stdcall fake_send(SOCKET s, const char* buf, int len,...

			
		

	





	

		

			

				
					
C/C++ HOOK 全局 API

				
			

			

				

					优快云
				

				

					07-16
					
					9633
					
				

			

		

		

			
				
全局 API Hook 用于在操作系统级别劫持和修改全局API(Application Programming Interface,应用程序编程接口)的调用。通过全局API Hook,可以截获和篡改应用程序对特定API的调用,从而实现对应用程序行为的监控、修改或增强。

			
		

	





	

		

			

				
					
开发知识点-C++之win32与NT内核

				
			

			

				

					aming小老弟
				

				

					03-07
					
					856
					
				

			

		

		

			
				
VC++远控编程班www.zygx8.com       61201860605658096586599275746120931930648561639269   123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com免费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。

			
		

	





	

		

			

				
					
Windows内核编程 文件监控(ssdt hook

				
			

			

				

					u013032601的博客
				

				

					06-23
					
					3831
					
				

			

		

		

			
				
本文主要针为进行内核编程的一些初学者提供一些错误,如有错误,希望大家能够指出。
        这里先简单介绍一下概念。说到SSDT HOOK,可以从MEP技术说起,MEP(即执行路径修改)主旨就是拦截系统函数或相关处理例程,让它们转向我们自己的函数进行处理,这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT(即 系统服务描述符表),主要是将位于Ring3的应用API函数和Ring0

			
		

	





	

		

			

				
					
【软件加密_技术内幕】

				
			

			

				

					04-24
				

			

		

		

			
				
 [Trial version] 第3章 Win32 调试API  [Trial version] 病毒是如何抗动态测试.htm  [Trial version] 3.1 Win32调试API原理  [Trial version] Win32调试API第一部分.htm  [Trial version] Win32调试API第二部分.htm...

			
		

	





	

		

			

				
					
APIHook、InlineHook库,使用C++11编写,可将回调函数绑定到类成员函数

				
			

			

				

					11-29
				

			

		

		

			
				
APIHook、InlineHook库,使用C++11编写,可将回调函数绑定到类成员函数。代码风格良好,适合学习。

			
		

	





	

		

			

				
					
API hook详解

				
			

			

				

					01-24
				

			

		

		

			
				
API Hook钩子技术的原理讲解以及应用,赋有核心代码。

			
		

	





	

		

			

				
					
Hook Windows API

				
			

			

				

					03-14
				

			

		

		

			
				
修改API函数前5个字节为一条jmp指令,跳转到自己写的Hook_api,实现hook系统api函数

			
		

	





	

		

			

				
					
利用SEH和INT3实现API HOOK.rar

				
			

			

				

					09-17
				

			

		

		

			
				
利用SEH和INT3实现API HOOK.rar

			
		

	





	

		

			

				
					
C++使用hookapi操作源代码windows环境

				
			

			

				

					12-28
				

			

		

		

			
				
C++使用hookapi操作windows环境,包含常用的示例:网络、注册表、文件、对话框、进程等HOOK API各种示例源代码

			
		

	





	

		

			

				
					
C/C++ WinApiHook注意调用方式!!!

				
			

			

				

					HsOjo的博客
				

				

					04-28
					
					1306
					
				

			

		

		

			
				
前言

在前段时间使用易语言hook的方式,实现了《11月的阿卡迪亚》的部分汉化,当时只是抱着试一试的心态,不过既然成功了,就当然想要深入的理解和研究。

最近又发现了个有趣的エロ游戏,于是乎我又打算尝试汉化,不过机会渺茫,没有搞懂资源结构,但是修改程序使其支持中文显示,应该还是可以的。

然后在尝试Hook某些API的时候,程序崩溃了,研究了整整一天才发现原因,So,写篇文章记录下来。

...

			
		

	





	

		

			

				
					
C++ HOOK 全局 API (MessageBox 为例)

				
			

			

				

					LYSM
				

				

					08-10
					
					3057
					
				

			

		

		

			
				
全局 Hook 不一定需要用到 Dll ,比如全局的鼠标钩子、键盘钩子都是不需要 Dll 的,但是要钩住 API,就需要 Dll 的协助了,下面直接放上 Dll 的代码:(注意这里使用的是 MFC DLL)
// Test_Dll(mfc).cpp : 定义 DLL 的初始化例程。
//

#include "stdafx.h"
#include "Test_Dll(mfc).h"

#ifdef...

			
		

	





	

		

			

				
					
hook 监控文件 c++_API监控+代码乱序的壳

				
			

			

				

					weixin_39735005的博客
				

				

					11-17
					
					595
					
				

			

		

		

			
				
1. 前言在论坛一直混迹也不短时间了,看了很多人的技术文章,总想着自己有一天也能写些东西。遂把这几个月做的一款壳分享一下,若能指点一二,小生感激不尽。因为本人写壳经验不长,其中参考了论坛上不少人的文章,前期感觉发出来有点见不得人哈,后来想想总有人需要的,这里算是做一个整合和优化,并且提出了一些新的保护思路。2. 特点① 本系统提供了加壳 和 API 监控。② 加壳模块的基本功能包括压缩引擎(apl...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值