2. 程式人生 > 其它 >Windows下32位程式的Inline Hook

Windows下32位程式的Inline Hook

阿新 發佈:2022-01-16

話不多說,首先貼程式碼,程式碼主體參考自一本關於黑客技術的書,書名給忘了。

當時只是敲出來跟著用,也沒有深入理解,最近再看,才發現一些原理。

Inline Hook的好處就是可以獲取被Hook函式的引數,我們可以自行處理這些資料,再呼叫本來的Hook函式。

#include <stdio.h>
#include <windows.h>
#include<iostream>
using namespace std;
class MyHook
{
public:
    MyHook()
    {
        funcAddr = NULL;
        ZeroMemory(oldBytes,
 
5);
        ZeroMemory(newBytes,5);
    }
    ~MyHook()
    {
        UnHook();
        funcAddr = NULL;
        ZeroMemory(oldBytes,5);
        ZeroMemory(newBytes,5);
    }
    /*
     *Hook的模組名稱,Hook的API函式名稱,鉤子函式地址
    */
    WINBOOL Hook(LPSTR ModuleName, LPSTR FuncName, PROC HookFunc)
    {
        BOOL bRet 
 
= FALSE;
        funcAddr = (PROC)GetProcAddress(GetModuleHandleA(ModuleName),FuncName);
        cout<<funcAddr<<endl;
        if(funcAddr!=NULL)
        {
            DWORD num = 0;
            ReadProcessMemory(GetCurrentProcess(),(void*)funcAddr,oldBytes,5,&num);
            newBytes[
 
0] = 0xe9;
            *(DWORD *)(newBytes + 1) = (DWORD)HookFunc - (DWORD)funcAddr - 5;
            WriteProcessMemory(GetCurrentProcess(),(void*)funcAddr,newBytes,5,&num);
            bRet = TRUE;
        }
        return bRet;
    }
    void UnHook()
    {
        if(funcAddr!=0)
        {
                DWORD num = 0;
                WriteProcessMemory(GetCurrentProcess(),(void*)funcAddr,oldBytes,5,&num);
        }
    }
    WINBOOL ReHook()
    {
        BOOL ret = FALSE;
        if(funcAddr!=0)
        {
            DWORD num;
            WriteProcessMemory(GetCurrentProcess(),(void*)funcAddr,newBytes,5,&num);
            ret = TRUE;
        }
        return ret;
    }

private:
    PROC funcAddr;
    BYTE oldBytes[5];
    BYTE newBytes[5];
};

MyHook hook;
int WINAPI MyMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT type)
{
    hook.UnHook();
    MessageBox(hWnd,"Hook流程",lpCaption,type);
    MessageBox(hWnd,lpText,lpCaption,type);
    hook.ReHook();
    return 0;
}
int main()
{
    MessageBox(NULL,"正常流程1","test",MB_OK);
    hook.Hook((LPSTR)"User32.dll",(LPSTR)"MessageBoxA",(PROC)&MyMessageBoxA);
    MessageBox(NULL,"被Hook了1","test",MB_OK);
//    MessageBox(NULL,"被Hook了2","test",MB_OK);
    hook.UnHook();
//    MessageBox(NULL,"正常流程2","test",MB_OK); 
}

既不解釋程式碼含義,也不解釋Win32 API。需要注意的就是以下兩點。

首先來看圖

為什麼是0xe9?
0xe9代表jmp指令。
但是圖上不是EB嗎?
因為平時使用OD這樣的除錯工具,大多數情況下修改跳轉,把jne之類的修改成jmp,
都是修改成了EB,久而久之,就忘了,jmp有好幾種跳轉方式,這種修改應該是屬於直接跳轉。
Jmp short.(說是short,實際上是一個帶符號的位元組範圍 -128~127)。
如圖所示,地址0x00401200 和0x00401216,有著0x14個位元組的指令,這就是直接跳轉。
1個位元組,肯定不夠我們跳轉的,所以這裡要用的是第2種跳轉方式。再看另一副圖
從地址0x0041c3c1跳轉到0x41c2ae,用的是E9 e8feffff
因為32位下jmp遠跳一共用了5位元組的記憶體。
E9 是jmp ,對應程式碼中的第一處
剩下4位元組儲存的是 目的地址-起始地址-指令長度,對應程式碼中的第二處
所以才有 0x41c2ae-0x41c3c1-5 = FFFFFEE8 。因為記憶體裡面是小端,所以顯示出來就是E8FEFFFF。

一種比較好的測試方案,就是使用OD除錯以上程式碼,ctrl+g跳轉到MessageBoxA的地址處,看看隨著程式碼的執行,該地址處的指令如何變化。

相關推薦

Windows32程式Inline Hook

話不多說,首先貼程式碼,程式碼主體參考自一本關於黑客技術的書,書名給忘了。

Windows64程式Inline Hook

有過32hook的介紹,程式碼不是主要的,所以貼在最後,首先記述原理。 主體程式碼還是參考與那本關於黑客技術的書,部分內容則參考自以下部落格。

64Linux系統32程式與64程式資料型別分析

#include <stdio.h> int main() { printf(\"the size of \'char\': %d Byte\\n\", sizeof(char)); printf(\"the size of \'short int\': %d Byte\\n\", sizeof(short int));

MySQL 5.0.96 for Windows x86 32綠色精簡版安裝教程

MySQL 5.0 因為“高階功能”少而成為一代經典,此為MySQL 5.0.96 for Windows x86 32。精簡後就只有幾M,沒辦法。Microsoft Visual C++ 2005 Redistributable自行安裝。

WCF 32程式除錯報錯

報錯 未能載入檔案或程式集“XXXXXX”或它的某一個依賴項。試圖載入格式不正確的程式

OpenEuler gcc生成32程式

OpenEuler gcc生成32程式 問題 由於程式設計需要,現需在 64 OpenEuler 作業系統,生成32程式

使用EXE4J把java類打包成EXE程式32及64)(

>>> 上篇說了用Myeclipse打包成jar。這篇是使用EXE4J打包成EXE檔案。 EXE4J請先自己搜尋安裝,把所有依賴的j第三方jar包一起放到之前匯出的main.jar的資料夾中。

【C#】GDAL3編譯(一):Windows超詳細編譯C#版GDAL3(VS2015+.NET 4+32/64

  轉載請註明原文地址:https://www.cnblogs.com/litou/p/15004877.html 目錄 一、介紹 二、編譯準備

python分別打包出32和64應用程式

由於我們分發的python應用可能執行在64環境,也可能執行在32環境,所以我們需要為同一套應用程式碼配置兩套打包環境,怎麼配置?

WindowsGo程式新增圖示

WindowsGo程式新增圖示 ?計劃使用go語言編譯一系列實用工具,提高自己的工作效率。發現編譯後的.exe檔案沒有圖示,甚是難看,所以找了windows平臺新增Go程式圖示的方法。

windows檢視多個tomcat對應的程序資訊以及對應的程式路徑

當伺服器啟動多個tomcat後,我們在資源管理器裡查詢程序全是java.exe,無法區分。

WindowsARM Linux應用程式開發環境搭建說明

https://blog.csdn.net/feifansong/article/details/80255276 這是因為工作寫的一個文件,主要是我們開發人員都不會Linux不會vi也不會命令列,於是研究了一下Windows系統除錯ARM Linux程式的辦法,在這共享一下。

windows ,如何檢視資料夾被哪個程式佔用(轉)

https://blog.csdn.net/m0_37321987/article/details/903447621、右擊工作列,啟動工作管理員;

32系統使用MongoDB的一點心得

本文出處:http://blog.csdn.net/chaijunkun/article/details/7236911,轉載請註明。由於本人不定期會整理相關博文,會對相應內容作出完善。因此強烈建議在原始出處檢視此文。

Windows命令列檢視佔用埠的程式

Windows命令列檢視佔用埠的程式 https://www.runoob.com/w3cnote/windows-finds-port-usage.html

Windows編譯TensorFlow1.3 C++ library及建立一個簡單的TensorFlow C++程式

由於最近比較忙,一直到假期才有空,因此將自己學到的知識進行分享。如果有不對的地方,請指出,謝謝!目前深度學習越來越火,學習、使用tensorflow的相關工作者也越來越多。最近在研究tensorflow線采用 python

32和64的java程式可以通用嗎

  java程式32和64可以通用嗎?我一直有這個疑問,比如64的機器上執行32的java程式會不會有問題,直到我看到了JVM大神R大 RednaxelaFX的回答。

使用EXE4J把java類打包成EXE程式32及64)(上)

>>> 1.在Myeclipse中選中需要打包的類,也可以是包目錄,也可以是整個SRC目錄。執行的主類必須要在選中的打包檔案裡。

windowskangle虛擬主機-web應用程式擴充套件線上下載(例子:kangle-vhms)

首先登入到網站後臺,選擇“web應用中心”,就會開啟kangle為客戶開發的一下網站應用程式,這些應用程式大多都是使用php開發的一些線上應用。點選上圖的web應用中心就會開啟 如下kangle的web應用下載網站:

windowsMysql設定欄值區分大小寫

MySQL在Windows是不區分大小寫的,如果想在查詢時區分欄值的大小寫,則:欄值需要設定BINARY屬性或者設定欄的排序規則,設定的方法有以下幾種: