2. 程式人生 > >【Inline Hook基礎篇】掛鉤系統API

【Inline Hook基礎篇】掛鉤系統API

阿新 發佈:2018-11-09
  • 對於怎麼掛鉤系統API的實現,網上對此的解釋有很多也很詳細。這邊暫不進行長篇大論,就簡單的說明下原理:修改系統API的前幾個位元組,並寫入 JMP 0x15a123 彙編指令,實現呼叫系統API自動跳轉到我們的API的過程。
  • 對於API HOOK的實現,現成的有MHOOK、DETOUR等類似的框架實現。既然我們要清晰的認識具體怎麼實現,那麼我們就自己編寫實現方式,不採用第三方庫。其實也很簡單,沒啥特別的難點。。。請看以下實現API掛鉤程式碼:
typedef struct _APIHOOK32_ENTRY
{
    char    szAPIName[MAX_PATH];
    char
 
    szCallerModuleName[MAX_PATH];
    PROC    pfnOriginApiAddress;
    DWORD   dwOldBytes[2];// = {0,0};
    //修改API入口為 mov eax 00400000;jmp eax是程式能跳轉到自己的函式
    BYTE    byNewBytes[8];// = { 0xB8, 0x0, 0x0, 0x40, 0x0, 0xFF, 0xE0, 0x0 };
    DWORD   dwNewAddress;
    HMODULE hModCallerModule;
    //事務,解決同步問題
    HANDLE  hEvent;
    HANDLE  hProcess;

    _APIHOOK32_ENTRY(const
 
 char* v_szDllName, const char* v_szAPIName, DWORD v_dwProcessID)
    {
        strcpy(szAPIName, v_szAPIName);
        strcpy(szCallerModuleName, v_szDllName);
        //建立事務      
        hEvent = CreateEvent( NULL, FALSE, TRUE, NULL ); 
        hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, v_dwProcessID);  

        memset(dwOldBytes, 0
 
, sizeof(dwOldBytes));

        memset(byNewBytes, 0, sizeof(byNewBytes));
        byNewBytes[0] = 0xB8;
        byNewBytes[3] = 0x40;
        byNewBytes[5] = 0xFF;
        byNewBytes[6] = 0xE0;
    }

    ~_APIHOOK32_ENTRY()
    {
        if ( NULL != hEvent)
        {
            WaitForSingleObject( hEvent, INFINITE );       

            DWORD dwOldProc;       
            DWORD dwNewProc;        
            //改變頁面屬性為讀寫       
            VirtualProtectEx( hProcess, (void*)pfnOriginApiAddress, 8, PAGE_READWRITE, &dwOldProc );        
            //恢復API的首8個位元組       
            WriteProcessMemory( INVALID_HANDLE_VALUE, (void*)pfnOriginApiAddress, (void*)dwOldBytes, sizeof(DWORD)*2, NULL );  
            //恢復頁面檔案的屬性       
            VirtualProtectEx( hProcess, (void*)pfnOriginApiAddress, 8, dwOldProc, &dwNewProc );

            CloseHandle(hEvent);
            hEvent = NULL;
        }
    }
}APIHOOK32_ENTRY, *PAPIHOOK32_ENTRY;
  • 其實這段實現方式的程式碼,網上應該是有類似的:修改API前8個位元組,將0040000的值設定為我們API的地址值即可:
mov eax 00400000
jmp eax
  • 呼叫例項:
PAPIHOOK32_ENTRY phk = NULL; //簡單設成全域性變數,正常做法是在New完後儲存到全域性快取裡面
/*
 *  API劫持實現方式:重寫API開頭8個位元組,寫入自己的跳轉語句
 */
void InitHook(const char *v_szDllName, const char *v_szAPIName, DWORD v_dwNewAddress)
{
    phk = new APIHOOK32_ENTRY(v_szDllName, v_szAPIName, g_dwProcessID);
    phk->dwNewAddress = v_dwNewAddress;
    //重寫API開頭的8位元組      
    phk->hModCallerModule = LoadLibrary( phk->szCallerModuleName );      
    if ( NULL == phk->hModCallerModule)
        return;

    phk->pfnOriginApiAddress = GetProcAddress( phk->hModCallerModule, phk->szAPIName ); 
    //儲存原始位元組      
    ReadProcessMemory( INVALID_HANDLE_VALUE, (void*)phk->pfnOriginApiAddress, (void*)phk->dwOldBytes, sizeof(DWORD) * 2, NULL );
    //將00400000改寫為我們函式的地址,why +1? 因為NewBytes第一個位元組0xB8為mov eax     
    *(DWORD*)(phk->byNewBytes + 1) = phk->dwNewAddress;      
    WriteProcessMemory( INVALID_HANDLE_VALUE, (void*)phk->pfnOriginApiAddress, (void*)phk->byNewBytes, sizeof(DWORD) * 2, NULL );     
}
InitHook("user32.dll", "GetClipboardData", (DWORD)hook_GetClipboardData);

//簡單的限制剪下板函式,貼上的時候直接返回NULL,貼上不成功
HANDLE _stdcall hook_GetClipboardData( UINT uFormat )
{ 
    return NULL;
}
  • 當然我們也想在自己的函式裡面繼續呼叫原系統API時怎麼辦呢?畢竟系統API已經被我們掛鉤了自己的函式,再次呼叫豈不是進入了死迴圈了。。。所以我們需要進行一次API現場恢復,才能使用原系統的API。
#define GET_EVENT(p) \
    WaitForSingleObject( p->hEvent, INFINITE );\
    ResetEvent(p->hEvent);
#define SET_EVENT(p) \
    SetEvent(p->hEvent);
#define RESTORE_OLDADDRESS(p) \
    GET_EVENT(p); \
    WriteProcessMemory( INVALID_HANDLE_VALUE, (void*)p->pfnOriginApiAddress, (void*)p->dwOldBytes, sizeof(DWORD)*2, NULL );
#define SET_NEWADDRESS(p) \
    WriteProcessMemory( INVALID_HANDLE_VALUE, (void*)p->pfnOriginApiAddress, (void*)p->byNewBytes, sizeof(DWORD)*2, NULL ); \
    SET_EVENT(p);  
HANDLE _stdcall hook_GetClipboardData( UINT uFormat )
{ 
    HANDLE hRet;   

    //恢復API頭8個位元組   
    RESTORE_OLDADDRESS(phk); //正常這個phk要快取到記憶體裡面,編寫例項就不實現了
    /* 這裡可以新增想要進行的處理過程*/    
    //真正執行API函式   
    hRet = GetClipboardData( uFormat );    
    //寫入跳轉語句,繼續Hook   
    SET_NEWADDRESS(phk);

    return hRet;
}

這邊有個注意點:在恢復系統API頭8個位元組的這個過程,如果程序中的其他執行緒剛好也呼叫此API,則不會被我們Hook,這是Inline Hook的一個不足點。MHook之類的框架,對這點有進行改進,貼一段Mhook的原始碼:

BOOL Mhook_SetHook(PVOID *ppSystemFunction, PVOID pHookFunction) {
    MHOOKS_TRAMPOLINE* pTrampoline = NULL;
    PVOID pSystemFunction = *ppSystemFunction;
    // ensure thread-safety
    EnterCritSec();
    ODPRINTF((L"mhooks: Mhook_SetHook: Started on the job: %p / %p", pSystemFunction, pHookFunction));
    // find the real functions (jump over jump tables, if any)
    pSystemFunction = SkipJumps((PBYTE)pSystemFunction);
    pHookFunction   = SkipJumps((PBYTE)pHookFunction);
    ODPRINTF((L"mhooks: Mhook_SetHook: Started on the job: %p / %p", pSystemFunction, pHookFunction));
    // figure out the length of the overwrite zone
    MHOOKS_PATCHDATA patchdata = {0};
    DWORD dwInstructionLength = DisassembleAndSkip(pSystemFunction, MHOOK_JMPSIZE, &patchdata);
    if (dwInstructionLength >= MHOOK_JMPSIZE) {
        ODPRINTF((L"mhooks: Mhook_SetHook: disassembly signals %d bytes", dwInstructionLength));
        // suspend every other thread in this process, and make sure their IP 
        // is not in the code we're about to overwrite.
        SuspendOtherThreads((PBYTE)pSystemFunction, dwInstructionLength);
        // allocate a trampoline structure (TODO: it is pretty wasteful to get
        // VirtualAlloc to grab chunks of memory smaller than 100 bytes)
        pTrampoline = TrampolineAlloc((PBYTE)pSystemFunction, patchdata.nLimitUp, patchdata.nLimitDown);
        if (pTrampoline) {
            ODPRINTF((L"mhooks: Mhook_SetHook: allocated structure at %p", pTrampoline));
            // open ourselves so we can VirtualProtectEx
            HANDLE hProc = GetCurrentProcess();
            DWORD dwOldProtectSystemFunction = 0;
            DWORD dwOldProtectTrampolineFunction = 0;
            // set the system function to PAGE_EXECUTE_READWRITE
            if (VirtualProtectEx(hProc, pSystemFunction, dwInstructionLength, PAGE_EXECUTE_READWRITE, &dwOldProtectSystemFunction)) {
                ODPRINTF((L"mhooks: Mhook_SetHook: readwrite set on system function"));
                // mark our trampoline buffer to PAGE_EXECUTE_READWRITE
                if (VirtualProtectEx(hProc, pTrampoline, sizeof(MHOOKS_TRAMPOLINE), PAGE_EXECUTE_READWRITE, &dwOldProtectTrampolineFunction)) {
                    ODPRINTF((L"mhooks: Mhook_SetHook: readwrite set on trampoline structure"));

                    // create our trampoline function
                    PBYTE pbCode = pTrampoline->codeTrampoline;
                    // save original code..
                    for (DWORD i = 0; i<dwInstructionLength; i++) {
                        pTrampoline->codeUntouched[i] = pbCode[i] = ((PBYTE)pSystemFunction)[i];
                    }
                    pbCode += dwInstructionLength;
                    // plus a jump to the continuation in the original location
                    pbCode = EmitJump(pbCode, ((PBYTE)pSystemFunction) + dwInstructionLength);
                    ODPRINTF((L"mhooks: Mhook_SetHook: updated the trampoline"));

                    // fix up any IP-relative addressing in the code
                    FixupIPRelativeAddressing(pTrampoline->codeTrampoline, (PBYTE)pSystemFunction, &patchdata);

                    DWORD_PTR dwDistance = (PBYTE)pHookFunction < (PBYTE)pSystemFunction ? 
                        (PBYTE)pSystemFunction - (PBYTE)pHookFunction : (PBYTE)pHookFunction - (PBYTE)pSystemFunction;
                    if (dwDistance > 0x7fff0000) {
                        // create a stub that jumps to the replacement function.
                        // we need this because jumping from the API to the hook directly 
                        // will be a long jump, which is 14 bytes on x64, and we want to 
                        // avoid that - the API may or may not have room for such stuff. 
                        // (remember, we only have 5 bytes guaranteed in the API.)
                        // on the other hand we do have room, and the trampoline will always be
                        // within +/- 2GB of the API, so we do the long jump in there. 
                        // the API will jump to the "reverse trampoline" which
                        // will jump to the user's hook code.
                        pbCode = pTrampoline->codeJumpToHookFunction;
                        pbCode = EmitJump(pbCode, (PBYTE)pHookFunction);
                        ODPRINTF((L"mhooks: Mhook_SetHook: created reverse trampoline"));
                        FlushInstructionCache(hProc, pTrampoline->codeJumpToHookFunction, 
                            pbCode - pTrampoline->codeJumpToHookFunction);

                        // update the API itself
                        pbCode = (PBYTE)pSystemFunction;
                        pbCode = EmitJump(pbCode, pTrampoline->codeJumpToHookFunction);
                    } else {
                        // the jump will be at most 5 bytes so we can do it directly
                        // update the API itself
                        pbCode = (PBYTE)pSystemFunction;
                        pbCode = EmitJump(pbCode, (PBYTE)pHookFunction);
                    }

                    // update data members
                    pTrampoline->cbOverwrittenCode = dwInstructionLength;
                    pTrampoline->pSystemFunction = (PBYTE)pSystemFunction;
                    pTrampoline->pHookFunction = (PBYTE)pHookFunction;

                    // flush instruction cache and restore original protection
                    FlushInstructionCache(hProc, pTrampoline->codeTrampoline, dwInstructionLength);
                    VirtualProtectEx(hProc, pTrampoline, sizeof(MHOOKS_TRAMPOLINE), dwOldProtectTrampolineFunction, &dwOldProtectTrampolineFunction);
                } else {
                    ODPRINTF((L"mhooks: Mhook_SetHook: failed VirtualProtectEx 2: %d", gle()));
                }
                // flush instruction cache and restore original protection
                FlushInstructionCache(hProc, pSystemFunction, dwInstructionLength);
                VirtualProtectEx(hProc, pSystemFunction, dwInstructionLength, dwOldProtectSystemFunction, &dwOldProtectSystemFunction);
            } else {
                ODPRINTF((L"mhooks: Mhook_SetHook: failed VirtualProtectEx 1: %d", gle()));
            }
            if (pTrampoline->pSystemFunction) {
                // this is what the application will use as the entry point
                // to the "original" unhooked function.
                *ppSystemFunction = pTrampoline->codeTrampoline;
                ODPRINTF((L"mhooks: Mhook_SetHook: Hooked the function!"));
            } else {
                // if we failed discard the trampoline (forcing VirtualFree)
                TrampolineFree(pTrampoline, TRUE);
                pTrampoline = NULL;
            }
        }
        // resume everybody else
        ResumeOtherThreads();
    } else {
        ODPRINTF((L"mhooks: disassembly signals %d bytes (unacceptable)", dwInstructionLength));
    }
    LeaveCritSec();
    return (pTrampoline != NULL);
}

相關推薦

Inline Hook基礎掛鉤系統API

對於怎麼掛鉤系統API的實現,網上對此的解釋有很多也很詳細。這邊暫不進行長篇大論,就簡單的說明下原理:修改系統API的前幾個位元組,並寫入 JMP 0x15a123 彙編指令,實現呼叫系統API自動跳轉到我們的API的過程。 對於API HOOK的實現,現成的有MHOOK、

Inline Hook基礎框架搭建

Windows程式設計師對於HOOK技術應該都很熟悉,HOOK俗稱:鉤子。即將自己想實現的功能,掛鉤到系統的函式上,達到呼叫系統的函式時能自動執行我們實現的功能。 對於HOOK,也分為:訊息鉤子,API鉤子,核心鉤子。訊息鉤子和API鉤子都是在應用層(Ring3

Inline Hook應用限制開啟檔案選擇對話方塊

我們要實現限制程式不允許傳送檔案,可以通過限制“檔案選擇對話方塊”實現。對於檔案選擇對話方塊的限制,基礎點的就是Hook:GetOpenFileName、SHBrowseForFolder,對這兩個API的Hook,可以限制市面上80%的檔案傳送,但對於QQ之類的在XP系統以上就

Inline Hook應用限制剪下板(針對檔案型別)

限制剪下板,主要是限制不允許貼上。我們對這兩個系統API進行掛鉤: GetClipboardData和OleGetClipboard //!<限制剪下板 InitHook("user32.dll", "GetClipboardData", (DWORD)hook

移動安全基礎——04、JEB使用

1. Android dx 工具:   把 jar 程式碼轉換為 dex 程式碼的工具 可以手動轉換出 dex 檔案,然後利用 jeb 進行分析 Dx --dex --output=輸出 dex 路徑 jar 檔案路徑 2. Jeb 的基本操作 (1)重新命名(n) (2)跟蹤(

移動安全基礎——05、JEB的第一次啟動

一、Jeb下載 下載地址:https://down.52pojie.cn/Tools/Android_Tools/ 二、JAVA環境 JAVA環境自己搭建,這裡不再複述 三、設定JAVA路徑Jeb解壓後的目錄下有一個檔案jeb_wincon.bat,開啟並新增命令:set

移動安全基礎——06、Android結構基礎

1. 以 HelloWorld 為例 AndroidManifest.xml:      描述 Android 應用的資訊,包括類名,元件名等 assets: 資源目錄 lib: so 檔案存放路徑 java: 原始碼存放目錄     &nb

3、非線性結構--樹與二叉樹——數據結構基礎

位置 enter 深度 基礎 表達式 左右 -a 基礎篇 先序遍歷 非線性結構--樹與二叉樹 二叉樹的基礎知識:         二叉樹的特點:             1、每個結點的度<=2             2、二叉樹是有序樹         二叉樹的五種不

圖解Python 第十二:Django 基礎

aps 不同的 mage 清空 font 一個 取數 ccf pos 本節內容一覽表: Django基礎:http://www.ziqiangxuetang.com/django/django-tutorial.html 一、Django簡介 Django文

python全棧開發基礎第十八網絡編程(socket)

回復 pro 解決 gettime connect 問題: 發送 lose post 一、網絡協議 客戶端/服務器架構 1.硬件C/S架構(打印機) 2.軟件C/S架構(互聯網中處處是C/S架構):B/S架構也是C/S架構的一種,B/S是瀏覽器/服務器 C/S架構與sock

python全棧開發基礎第十九進程

返回 工作 後臺 兩種 技術分享 div cpu 相關 發出 一、什麽是進程 進程:正在進行的一個過程或是一個任務。而負責執行任務的是CPU。 舉例:(單核+多道,實現多個進程的並發):  比如說你就是一個CPU,你下午有幾個活要幹,吃飯,洗衣服,上廁所等。但是就在那一下午

python全棧開發基礎第二十一互斥鎖以及進程之間的三種通信方式(IPC)以及生產者個消費者模型

ipc 例子 清空 ase 多個進程 art 並且 star als 一、互斥鎖 進程之間數據隔離,但是共享一套文件系統,因而可以通過文件來實現進程直接的通信,但問題是必須自己加鎖處理。 註意:加鎖的目的是為了保證多個進程修改同一塊數據時,同一時間只能有一個修改,即串行的修

python全棧開發基礎第二十二進程池和回調函數

enc 並發執行 exce 核數 exc 為什麽 .py bsp urn 一、數據共享 1.進程間的通信應該盡量避免共享數據的方式 2.進程間的數據是獨立的,可以借助隊列或管道實現通信,二者都是基於消息傳遞的。 雖然進程間數據獨立,但可以用過Manager實現數據共享,事實

python全棧開發基礎第二十五死鎖,遞歸鎖,信號量,Event事件,線程Queue

random 問題 定時器 初始 .get rand true () 進入 一、死鎖現象與遞歸鎖 進程也是有死鎖的 所謂死鎖: 是指兩個或兩個以上的進程或線程在執行過程中,因爭奪資源而造成的一種互相等待的現象,若無外力作用, 它們都將無法推進下去。此時稱系統處於死鎖狀態或系

python全棧開發基礎第二十四(利用threading模塊開線程、join與守護線程、GIL與Lock)

roc print 例子 線程 -- elf 定期 listen cti 一多線程的概念介紹 threading模塊介紹 threading模塊和multiprocessing模塊在使用層面,有很大的相似性。 二、開啟多線程的兩種方式 創建線程的開銷比創建進程的開銷小,

python全棧開發基礎第二十六(concurrent.futures模塊、協程、Greenlet、Gevent)

會有 什麽 www 上一個 join 開發 tps 初始化 brush 註意 1.不能無限的開進程,不能無限的開線程最常用的就是開進程池,開線程池。其中回調函數非常重要回調函數其實可以作為一種編程思想,誰好了誰就去掉2.只要你用並發,就會有鎖的問題,但是你不能一直去自己加鎖

python全棧開發基礎第二十七IO模型

輪詢 復用 異步 queue sele 總結 sys 強調 strip() 相關名詞解析 同步(synchronous):一個進程在執行某個任務時,另外一個進程必須等待其執行完畢,才能繼續執行 #所謂同步,就是在發出一個功能調用時,在沒有得到結果之前,該調用就不會返回。按

Django 第十一Form組件基礎

實例 ont you 常用 lock 使用 服務 any 現在 一、model常用操作   1、13個API查詢:all,filter,get ,values,values_list,distinct,order_by ,reverse , exclude(排除),cou

Django 第十六Ajax基礎

jquery 使用 ror code 語法 表示 是什麽 程序 發送信息 一、Ajax準備知識:json 說起json,我們大家都了解,就是python中的json模塊,那麽json模塊具體是什麽呢?那我們現在詳細的來說明一下 1、json(Javascript Obi

推薦系統--推薦系統介紹和基本架構流程

方案 排序 技術分享 企業 生成 線上 系統 src 測試數據 一、前述 推薦系統是企業中常用的技術,所以系統的掌握推薦系統的知識是很有必要的。本專欄主要講述手機APP下載的項目。 常用的推薦方法有兩個,分別是基於物品的推薦和基於用戶的推薦。 基於用戶的推薦原理是:跟你喜好