2. 程式人生 > >從Hook虛擬函式到HOOK COM API

從Hook虛擬函式到HOOK COM API

阿新 發佈:2018-11-08 
// HookVtable.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <iostream>
#include <memory.h>
#include <windows.h>

using namespace std;

class Test{
private:
	HANDLE m_hProcess;
	DWORD m_dwOldProtectFlag;
	ULONG_PTR** m_pplVrtable;
	ULONG_PTR m_OldProcAddress;
	size_t m_sizeRead;
	MEMORY_BASIC_INFORMATION mbi;
public:
	Test() :m_hProcess(NULL),
		m_dwOldProtectFlag(0),
		m_pplVrtable(NULL),
		m_OldProcAddress(0),
		m_sizeRead(0)
	{
		ZeroMemory(&mbi, sizeof(mbi));
	}
	~Test()
	{
	};
	virtual void fun1()
	{
		cout <<this<<":"<< "fun1 called!" << endl;
	}
	virtual void fun2()
	{
		cout << this << ":" << "fun2 called!" << endl;
	}
	virtual void fun3()
	{
		cout << this << ":" << "fun3 called!" << endl;
	}
	void Hook(ULONG_PTR dwAddFun)
	{
		m_pplVrtable = (ULONG_PTR**)(this);
		m_hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
		if (VirtualQueryEx(m_hProcess, (LPVOID)(*m_pplVrtable), &mbi, sizeof(mbi)) != sizeof(mbi))
			return;
		if (!VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, PAGE_EXECUTE_READWRITE, &m_dwOldProtectFlag))
			return;
		ReadProcessMemory(m_hProcess, &(*m_pplVrtable)[1], &m_OldProcAddress, sizeof(ULONG_PTR), &m_sizeRead);
		(*m_pplVrtable)[1] = dwAddFun;

	}
	void UnHook()
	{
		DWORD dwTemp = 0;
		(*m_pplVrtable)[1] = m_OldProcAddress;
		VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, m_dwOldProtectFlag, &dwTemp);
		CloseHandle(m_hProcess);
	}

};

void MyFun()
{
	cout << "This is fake function" << endl;
}

int _tmain(int argc, _TCHAR* argv[])
{
	Test* pA = new Test;
	Test* pA2 = new Test;
	pA->Hook((ULONG_PTR)MyFun);
	pA->fun1();
	pA->fun2();
	pA2->fun2();
	pA->UnHook();
	pA->fun1();
	pA->fun2();
	pA2->fun2();
	delete pA;
	return 0;
}

 

同一個程序下 某個類的虛擬函式列表是唯一的, 所有類物件共享 ,類物件的this指標指向的第一個地址就是虛擬函式表的地址。

修改表中某個虛擬函式的地址就能修改所有類物件的函式跳轉 (虛擬函式的索引 是虛擬函式在類裡面的排序位置 由0開始)。

以上就是HOOK COM API的基本原理

測試一下吧

ITextServices* pTextServices = NULL;
typedef HRESULT(ITextServices::*TrueTxSendMessage)(UINT msg, WPARAM wparam, LPARAM lparam, LRESULT *plresult);
TrueTxSendMessage g_func = NULL;


HRESULT STDMETHODCALLTYPE FakeTxSendMessage(
	UINT msg,
	WPARAM wparam,
	LPARAM lparam,
	LRESULT *plresult)
{
	MessageBox(NULL, _T("FakeTxSendMessage"), _T("FakeTxSendMessage"), MB_OK);
	return (pTextServices->*(g_func))(msg,wparam,lparam,plresult);
}

HANDLE m_hProcess = NULL;
DWORD** m_pplVrtable = NULL;
DWORD m_dwOldProtectFlag = 0;
DWORD m_OldProcAddress = 0;
DWORD m_sizeRead = 0;
MEMORY_BASIC_INFORMATION mbi = {0};
void Hook(DWORD dwAddFun, ITextServices* pITextServices)
{
	m_pplVrtable = (DWORD**)(pITextServices);
	m_hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
	if (VirtualQueryEx(m_hProcess, (LPVOID)(*m_pplVrtable), &mbi, sizeof(mbi)) != sizeof(mbi))
		return;
	if (!VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, PAGE_EXECUTE_READWRITE, &m_dwOldProtectFlag))
		return;
	ReadProcessMemory(m_hProcess, &(*m_pplVrtable)[3], &m_OldProcAddress, sizeof(DWORD), &m_sizeRead);
	memcpy(&g_func, &m_OldProcAddress, sizeof(DWORD));
	(*m_pplVrtable)[3] = dwAddFun;

}
void UnHook()
{
	DWORD dwTemp = 0;
	(*m_pplVrtable)[3] = m_OldProcAddress;
	VirtualProtectEx(m_hProcess, mbi.BaseAddress, 16, m_dwOldProtectFlag, &dwTemp);
	CloseHandle(m_hProcess);
}

do
	{
		HRESULT hr;

		IUnknown* pUnk = NULL;


		// Create an instance of the application-defined object that implements the ITextHost interface.
		MyTextHost* pTextHost = new MyTextHost(g_hWnd);
		MyTextHost* pTextHost2 = new MyTextHost(g_hWnd);
		

		if (pTextHost == NULL)
			break;
		PCreateTextServices TextServicesProc = NULL;
		HMODULE hmodRichEdit = LoadLibrary(_T("Msftedit.dll"));

		// Retrieve the IID_ITextServices interface identifier from Msftedit.dll. 
		IID* pIID_ITS = NULL;
		if (hmodRichEdit)
		{
			pIID_ITS = (IID*)(VOID*)GetProcAddress(hmodRichEdit, "IID_ITextServices");
			TextServicesProc = (PCreateTextServices)GetProcAddress(hmodRichEdit, "CreateTextServices");
		}

		if (TextServicesProc)
		{
			hr = TextServicesProc(NULL, pTextHost, &pUnk);
		}

		// Create an instance of the text services object.
		//hr = CreateTextServices(NULL, pTextHost, &pUnk);

		if (FAILED(hr))
			break;

		

		// Retrieve the ITextServices interface.    
		hr = pUnk->QueryInterface(*pIID_ITS, (void **)&pTextServices);
		

		Hook((ULONG_PTR)FakeTxSendMessage, pTextServices);
		//UnHook();

		if (TextServicesProc)
		{
			hr = TextServicesProc(NULL, pTextHost2, &pUnk);
			hr = pUnk->QueryInterface(*pIID_ITS, (void **)&pTextServices);
		}

		pUnk->Release();

		
		hr = pTextServices->TxSendMessage(WM_SETFOCUS, 0, 0, 0);

		if (FAILED(hr))
			break;

		

	} while (0);

 

注意事項:

1,儲存原有虛擬函式的指標型別需要為類成員函式指標型別

typedef HRESULT(ITextServices::*TrueTxSendMessage)(UINT msg, WPARAM wparam, LPARAM lparam, LRESULT *plresult);

否則異常

2,要保證呼叫約定前後一致

HRESULT STDMETHODCALLTYPE FakeTxSendMessage(
    UINT msg,
    WPARAM wparam,
    LPARAM lparam,
    LRESULT *plresult)
{
    MessageBox(NULL, _T("FakeTxSendMessage"), _T("FakeTxSendMessage"), MB_OK);
    return (pTextServices->*(g_func))(msg,wparam,lparam,plresult);
}

否則異常

Thanks~

相關推薦

Hook虛擬函式HOOK COM API

// HookVtable.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <iostream> #include <memory.h> #

使用Xposed框架HOOK任意函式API

感謝作者 http://0nly3nd.sinaapp.com/?p=613  0×1 建立一個空的工程 0×2 AndroidManifest.xml         2.1 修改包名                  

callback回撥函式hook鉤子函式的簡單理解

回撥函式callback:所呼叫函式執行完,之後呼叫的函式 鉤子函式hook:訊息到達目的地之前,進行攔截,處理訊息 簡單理解: Scrapy中就有使用: 回撥函式,Request執行完下載流程之後,呼叫parse函式來解析頁面 Request(url, callback=s

零開始學C++之虛擬函式與多型(一):虛擬函式表指標、虛解構函式、object slicing與虛擬函式、C++物件模型圖

#include <iostream>using namespace std;class CObject {public:     virtual void Serialize()     {         cout << "CObject::Serialize ..." <&

C#類的方法:過載,寫,虛擬函式,抽象函式,隱藏基類方法!

    CSDN廣告是越來越多了,所有部落格筆記不再更新,新網址 DotNet筆記 1:過載   方法過載的主要好處就是,不用為了對不同的引數型別或引數個數,而寫多個函式。       特點:函式名稱必須一樣,返回型別可以不一樣,引數可以不一樣。 using System

彙編層面深度剖析C++虛擬函式

虛擬函式是C++語言實現執行時多型的唯一手段,因此掌握C++虛擬函式也成為C++程式設計師是否合格的試金石。csdn網友所發的一篇博文《VC虛擬函式佈局引發的問題》 從彙編角度分析了物件虛擬函式表的構

遊戲修改器製作教程八:D3D函式hook

教程面向有C\C++基礎的人,最好還要懂一些Windows程式設計知識 程式碼一律用Visual Studio 2013編譯,如果你還在用VC6請趁早丟掉它... 寫這個教程只是為了讓玩家更好地體驗所愛的單機遊戲,順便學到些逆向知識,我不會用網路遊戲做示範,請自重 (_(

Hive Query生命週期 —— 鉤子(Hook函式

無論你通過哪種方式連線Hive(如Hive Cli、HiveServer2),一個HQL語句都要經過Driver的解析和執行,主要涉及HQL解析、編譯、優化器處理、執行器執行四個方面。 以Hive目前原生支援計算引擎MapReduce為例,具體處理流程如下: HQL解析生成AST語法樹Antlr定義SQL

Java虛擬機角度分析類的實例化順序

構造代碼塊 on() 觸發 進行 cal utf The father 實例代碼 1.首先展示一下實例代碼(Son.java & Father.java) public class Father { public static int a=10;

Xposed Hook & Anti-hook

try amp als RoCE elements red source code odi 一點簡單記錄。 xposed原理包括將hook的method轉為Native。因此可檢測如下: for (ApplicationInfo applicationInfo : app

解構函式為什麼不能宣告為虛擬函式?解構函式為什麼要宣告為虛擬函式

多型中的虛擬函式表是在執行時建立的還是編譯時建立的? 答:虛擬函式表在編譯的時候就確定了,而類物件的虛擬函式指標vptr是在執行階段確定的,這是實現多型的關鍵 (類的函式的呼叫並不是在編譯時就確定的,而是在執行時才確定的,由於編寫程式碼的時候並不能確定被呼叫的是基類的函式還是哪個派生類的函式,所以宣告為虛

繼承裡既有虛繼承也有虛擬函式繼承(即既有虛基表,也有虛擬函式表)

對於單一的虛繼承可參考這篇部落格: https://blog.csdn.net/sophia__yu/article/details/82791522 對於有虛擬函式繼承可參考這篇部落格: https://blog.csdn.net/sophia__yu/article/details/82

為什麼建構函式不能夠使虛擬函式

            虛擬函式可謂是C++與其它的面嚮物件語言最大的區別了。虛擬函式的存在使為了多型,Java當然也有多型。不過實現方式並不是通過虛擬函式,我們這裡就不做介紹了。       &

虛擬函式 C++

C++ 虛擬函式 虛擬函式 基類中使用virtual關鍵字宣告的函式,稱為虛擬函式。 虛擬函式的實現,通過虛擬函式表來實現的。即V-table 這個表中有一個類,用於儲存虛擬函式的地址。解決其繼承,覆蓋的問題,用於保證其真實反映的函式。這樣有虛擬函式的例項,將會儲存在這個例項的記憶體中。即用父類的指標,操

C++虛擬函式表以及記憶體對齊文章

C++虛擬函式表以及記憶體對齊文章 C++ 物件的記憶體佈局(上) https://blog.csdn.net/haoel/article/details/3081328 C++ 物件的記憶體佈局(下) https://blog.csdn.net/haoel/article/deta

c# 虛擬函式Virtual與重寫override

C#程式碼   using System; namespace Smz.Test { class A { public virtua

C++中的動態型別與動態繫結、虛擬函式、執行時多型的實現【轉】

(轉自:https://blog.csdn.net/iicy266/article/details/11906509) 動態型別與靜態型別 靜態型別          是指不需要考慮表示式的執行期語

0day 第10章--10.3:覆蓋虛擬函式突破GS

實驗環境:winxp sp3 vs2010 實驗要求:程式要求禁用優化、release版本 實驗原理:程式只有在函式返回時才檢查Security Cookie,如果在函式檢查之前劫持程式流程,就能實現緩衝區溢位了!因此可以利用C++中的虛擬函式!(為什麼?見0day第6章攻擊C++虛擬函

C++物件記憶體模型2 (虛擬函式,虛指標,虛擬函式表)

C++物件記憶體模型2 (虛擬函式,虛指標,虛擬函式表) 從例子入手,考察如下帶有虛擬函式的類的物件記憶體模型: class A { public: virtual void vfunc1(); virtual void vfunc2(); void func1();

C/C++基類的解構函式為什麼必須定義為虛擬函式

C/C++基類的解構函式為什麼必須定義為虛擬函式?   為什麼基類的解構函式是虛擬函式? 在實現多型時,當用基類操作派生類,在析構時防止只析構基類而不析構派生類的狀況發生。 (1)第一種情況:沒有多型,建立派生類物件,基類的解構函式不是虛擬函式 #include<