2. 程式人生 > 實用技巧 >《逆向工程核心原理》——API HOOK

《逆向工程核心原理》——API HOOK

阿新 發佈:2020-08-13

編寫dll處理hook邏輯,注入到目標程序,實現api hook。

Windows10 notepad,通過hookkernel32.dll.WriteFile,實現小寫字母轉大寫儲存到檔案。

hook前kernel32.dll.WriteFile入口:

kernel32.dll.WriteFile在呼叫時入口是條jmp指令

跳轉後

hook時通過GetProcAddress得到的是jmp處的地址,在jmp指令周邊有一些int 3指令,這些空間可以用來做一些跳轉操作。

#include "pch.h"
#include <tchar.h>
#define DLLNAME "kernel32.dll"
#define
 
 WRITEFILE "WriteFile"
BYTE g_pOrgBytes[6] = { 0 };
FARPROC g_writefile = GetProcAddress(GetModuleHandleA(DLLNAME), WRITEFILE);

//此函式用來將api前5個位元組改為jmp xxxx 
BOOL hook_by_code(FARPROC pfnOrg, PROC pfnNew, PBYTE pOrgBytes) {
    DWORD dwOldProtect, dwAddress;
    BYTE pBuf[6] = { 0xE9,0,0,0,0, 0x90};
    PBYTE pByte;
    pByte 
 
= (PBYTE)pfnOrg;
    if (pByte[0] == 0xE9)//若已被勾取,則返回False
        return FALSE;
    VirtualProtect((LPVOID)pfnOrg, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);//為了修改位元組,先向記憶體新增“寫”的屬性
    memcpy(pOrgBytes, pfnOrg, 6);//備份原有程式碼
    dwAddress = (DWORD64)pfnNew - (DWORD64)pfnOrg - 5;//計算JMP地址   => XXXX = pfnNew - pfnOrg - 5
 

    memcpy(&pBuf[1], &dwAddress, 4);//E9,剩下後面4個位元組為跳轉的地址
    memcpy(pfnOrg, pBuf, 6);//複製指令,跳轉到hook邏輯
    
    memcpy(&pByte[6], pOrgBytes, 6);//後面的int 3指令進行修改,跳轉到原api邏輯
    pByte[8] -= 6;//修正跳轉偏移

    VirtualProtect((LPVOID)pfnOrg, 12, dwOldProtect, &dwOldProtect);//恢復記憶體屬性
    return TRUE;
}

BOOL unhook_by_code(FARPROC pFunc, PBYTE pOrgBytes) {
    
    DWORD dwOldProtect;
    PBYTE pByte;
    pByte = (PBYTE)pFunc;
    if (pByte[0] != 0xE9)//若已脫鉤,則返回False
        return FALSE;
    VirtualProtect((LPVOID)pFunc, 6, PAGE_EXECUTE_READWRITE, &dwOldProtect);//向記憶體新增“寫”的屬性,為恢復原始碼做準備
    memcpy(pFunc, pOrgBytes, 6);//脫鉤
    VirtualProtect((LPVOID)pFunc, 6, dwOldProtect, &dwOldProtect);//恢復記憶體屬性
    return TRUE;
}
//WINBASEAPI
//BOOL
//WINAPI
//WriteFile(
//    _In_ HANDLE hFile,
//    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,
//    _In_ DWORD nNumberOfBytesToWrite,
//    _Out_opt_ LPDWORD lpNumberOfBytesWritten,
//    _Inout_opt_ LPOVERLAPPED lpOverlapped
//);
typedef BOOL(WINAPI* PFWriteFile)(
    _In_ HANDLE hFile,
    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,
    _In_ DWORD nNumberOfBytesToWrite,
    _Out_opt_ LPDWORD lpNumberOfBytesWritten,
    _Inout_opt_ LPOVERLAPPED lpOverlapped
    );
BOOL WINAPI  MyWriteFile(
    _In_ HANDLE hFile,
    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,
    _In_ DWORD nNumberOfBytesToWrite,
    _Out_opt_ LPDWORD lpNumberOfBytesWritten,
    _Inout_opt_ LPOVERLAPPED lpOverlapped) {
    PBYTE ptr = (PBYTE)g_writefile;
    //unhook_by_code(g_writefile, g_pOrgBytes);
    BOOL ret = TRUE;
    char* pc = (char*)lpBuffer;
    while (*pc)
    {
        if (*pc >= 'a' && *pc <= 'z') {
            *pc -= 0x20;
        }
        pc++;
    }
    ret = ((PFWriteFile)(ptr+6))(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);//原入口偏移+6處是修正的原jmp指令
    //hook_by_code(g_writefile, (PROC)MyWriteFile, g_pOrgBytes);
    return ret;
}

BOOL APIENTRY DllMain(HMODULE hModule,
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        hook_by_code(g_writefile,(PROC)MyWriteFile, g_pOrgBytes);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
        break;
    case DLL_PROCESS_DETACH:
        unhook_by_code(g_writefile,g_pOrgBytes);
        break;
    }
    return TRUE;
}

hook效果:

相關推薦

逆向工程核心原理》——通過除錯方式hook Api

1、附加目標程序, 2、CREATE_PROCESS_DEBUG_EVENT附加事件中將目標api處設定為0xcc(INT 3斷點)

逆向工程核心原理》——API HOOK

編寫dll處理hook邏輯,注入到目標程序,實現api hook。 Windows10 notepad,通過hookkernel32.dll.WriteFile,實現小寫字母轉大寫儲存到檔案。

逆向工程核心原理——第十章

函式呼叫約定 函式呼叫約定,就是函式呼叫時如何傳遞引數的一種約定。 *棧的大小記錄在pe頭中。

逆向工程核心原理——第十四章

執行時壓縮 壓縮還分為無失真壓縮和有失真壓縮: 無失真壓縮:使用壓縮過的檔案之前需要解壓,解壓之後可以百分之百恢復檔案內容。

逆向工程核心原理》Windows訊息鉤取

DLL注入——使用SetWindowsHookEx函式實現訊息鉤取 MSDN: SetWindowsHookEx Function

逆向工程核心原理》——DLL注入與解除安裝

利用CreateRemoteThread #include <iostream> #include <tchar.h> #include <Windows.h> #include <tlhelp32.h>

逆向工程核心原理》——IAThook

hook邏輯寫入dll中,注入dll。 #include \"pch.h\" #include <tchar.h> #include \"windows.h\"

逆向工程核心原理》——TLS回撥函式

pe中TLS(thread local storage)中函式的執行時機早於入口函式(entry point), 相關結構:

逆向工程核心原理——第三十二章

計算器顯示中文數字 此實驗中使用的程式碼只適用於x86系統。 本章講解API鉤取技術時將以Windows計算器( calc.exe)為示例,向計算器程序插人使用者的

逆向工程核心原理:PE映像切換 原始碼

示例程式碼下載地址:https://pan.baidu.com/s/1cb1qg9YVgzwQ2X9umSU7qw密碼:pnmq Debugme3.cpp

逆向工程核心原理之第23章之dll下載網頁

用devc++編譯dll下載網頁程式碼 方法1 用Windows本身的dll:在工具->編譯選項->編譯器->在聯結器命令列加入以下命令去掉 -static-libgcc新增如下 -lole32 -loleaut32-lurlmon -lwininet

穀粒商城day41 -API-品牌管理-使用逆向工程的前後端程式碼 (${column.comments}顯示問題)

1.拷貝之前逆向生成的vue檔案 把下面這兩個檔案 拷入product目錄下 2.測試功能,出現了問題,

iOS逆向 - 應用簽名原理及重簽名 (重籤微信應用實戰)

前言: 玩逆向的目的 ? 為了應用安全,我們首先要知道 Hackers 都是怎麼做的,他們如何做到可以除錯我們的應用 . 在此基礎上我們才能知道如何更有效的進行防護.

golang核心原理-協程棧

什麼是協程棧 每個協程都需要有自己的棧空間,來存放變數,函式,暫存器等資訊。所以系統需要給協程分配足夠的棧空間。

SpringBoot啟動機制(starter機制)核心原理詳解

作者:MyBug 一、前言 使用過springboot的同學應該已經知道,springboot通過預設配置了很多框架的使用方式幫我們大大簡化了專案初始搭建以及開發過程。

ibatis 核心原理解析

最近查詢一個生產問題的原因,需要深入研究 ibatis 框架的原始碼。雖然最後證明問題的原因與 ibatis 無關,但是這個過程加深了對 ibatis 框架原理的理解。

oracle核心原理-讀取buffer解析

1 搜尋buffer過程如下: 根據要訪問的檔案號,塊號,計算hash值。 根據hash值,找到對應的bucket。

Mybatis逆向工程執行程式碼例項

簡單的理解,MyBatis逆向工程,就是通過相應外掛,自動生成MyBatis資料庫連線的一些檔案。

Idea使用外掛實現逆向工程搭建SpringBoot專案的圖文教程

之前寫SpringBoot專案,每次都要手動去寫實體類、dao層啥的,尤其是資料庫表字段特別多的時候,特別麻煩。然後很多小夥伴都會用逆向工程來自動生成這些類,省去許多沒必要的程式碼量,但是Mybatis的逆向工程依然需要

Mybatis Generator逆向工程的使用詳細教程

一、MyBatis Generator簡介 MyBatis Generator(MBG)是MyBatis和iBATIS的程式碼生成器。它將為所有版本的MyBatis以及版本2.2.0之後的iBATIS版本生成程式碼。它將審查資料庫表(或許多表),並將生成可用於訪問表的