Windows Hook 易核心编程(4) API Hook 续 拦截API
2016-04-27 17:45
127 查看
在开始之前,让我们先来回顾一下:
什么叫Hook API?
所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控
制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正的系统API前可
以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲Hook API之前先来看一下如何Hook消息,例如Hook全
局键盘消息,从而可以知道用户按了哪些键.这种Hook消息的功能可以由以下函数来完成,该函数将一新的Hook加入到原
来的Hook链中,当某一消息到达后会依次经过它的Hook链再交给应用程序,这个在我的Windows Hook 易核心编程(1)和(2)
里有具体的说明和应用,大家可以看一看.
.DLL命令 api_SetWindowsHookExA, 整数型, , "SetWindowsHookExA"
.参数 idHook, 整数型, , Hook类型,例如WH_KEYBOARD,WH_MOUSE
.参数 lpfn, 子程序指针, , 钩子回调函数,Hook处理过程函数的地址,
.参数 nMod, 整数型, , 包含Hook处理过程函数的dll句柄(若在本进程可以为NULL)
.参数 dwThreadID, 整数型, , 要Hook的线程ID,若为0,表示全局Hook所有
.DLL命令api_UnhookWindowsHookEx, 逻辑型, , "UnhookWindowsHookEx"
.参数 hhook, 整数型,要关闭钩子的句柄.
这里需要提一下的就是如果是Hook全局的而不是某个特定的进程则需要将Hook过程编写为一个DLL,以便让任何程序
都可以加载它来获取Hook过程函数。而对于Hook API微软并没有提供直接的接口函数,也许它并不想让我们这样做,不过
有2种方法可以完成该功能。第一种,修改可执行文件的IAT表(即输入表),因为在该表中记录了所有调用API的函数地
址,则只需将这些地址改为自己函数的地址即可,但是这样有一个局限,因为有的程序会加壳,这样会隐藏真实的IAT
表,从而使该方法失效。第二种方法是直接跳转,改变API函数的头几个字节,使程序跳转到自己的函数,然后恢复API开
头的几个字节,在调用API完成功能后再改回来又能继续Hook了,但是这种方法也有一个问题就是同步的问题,当然这是
可以克服的,并且该方法不受程序加壳的限制。
上一章我们就是用的第二种方法,通过直接改写API函数ExitWindowsEx入口点为{195}(即汇编的返回命令retn),达到
关机失效的目地,其实这不算是真正的API HOOK,没有实现自定API函数的功能.记得我说过,如果要实现自定API函数,可以写
入一个跳转指令,JMP OX00000(其中OX00000为自定API函数地址),最后还给大家留了一道题,就是参照论坛上的教程写出
自定API函数的功能,不知道大家完成的什么样了,呵呵.
其实,要真正实现API HOOK,用JMP OX00000是不能达到我们的目地的,因为要转移参数,我们先要mov eax OX00000 ,然
后再jmp eax,在易里面用用字节集连起来表示就是:
{ 184 } + 到字节集 (到整数 (&new_api)) + { 255, 224 }
其中new_api就是新的自定API函数地址,结合上期的内容,我们现在就来解析核心代码:
===================================
.子程序 修改API首地址, 逻辑型
.参数 Process, 整数型, , 目标进程句柄
.参数 Papi, 整数型, , 要修改的API函数地址
.参数 type, 字节集, , 要改写的内容,字节集
.局部变量 mbi, 虚拟信息
.局部变量 结果, 逻辑型
.局部变量 MyAPI, 整数型
.局部变量 Ptype, 字节集
.如果真 (Papi = 0)
返回 (假)
.如果真结束
.如果真 (返回虚拟信息 (Process, Papi, mbi, 28) = 0)
返回 (假)
.如果真结束
.如果真 (修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) + 1, #PAGE_EXECUTE_READWRITE, mbi.Protect) = 假)
返回 (假)
.如果真结束
结果 = 写内存字节 (Process, Papi, type, 取字节集长度 (type), 0)
修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) + 1, #PAGE_EXECUTE_READ, mbi.Protect) ' 改回只读模式
返回 (结果)
==================================
这个子程序也就是上期用到的,上一期第3个参数是写的{195},这里换成 { 184 } + 到字节集 (到
整数 (&new_api)) + { 255, 224 }就可以了,新的API函数要和原API函数的参数一样,还拿API函
数ExitWindowsEx来说,看下面的新的API函数:
======================================
.子程序 new_api, 整数型, , 新的API函数,要与原来的API函数的参数一样
.参数 标志, 整数型
.参数 保留值, 整数型
' 给自己留条后门先
.如果 (保留值 = 3389)
HOOKAPI (假)
api_ExitWindowsEx (标志, 保留值)
.否则
信息框 (“您的操作已经被易拦截了!” + #换行符 + “ExitWindowsEx” + #换行符 + “参数<1>:” + 到文本 (标志) + #换行符 + “参数<2>:” + 到文本 (保留值), 0, )
.如果结束
返回 (1)
=======================================
看下面的代码:
.子程序 HOOKAPI, 逻辑型
.参数 是否HOOK, 逻辑型
.局部变量 TYPE, 字节集
.如果 (是否HOOK)
TYPE = { 184 } + 到字节集 (到整数 (&new_ExitWindowsEx)) + { 255, 224 }
返回 (修改API首地址(取当前进程伪句柄 (), API, TYPE))
.否则
返回 (修改API首地址(取当前进程伪句柄 (), API, API_BAK))
当然,改写前,还是要备份和取API函数地址的:
API = 取DLL函数地址 (取程序或DLL句柄 (“user32.dll”), “ExitWindowsEx”)
API_BAK = 指针到字节集 (API, 8)
============================================
这样,只要一句HOOKAPI(真)就可以轻松改写本进程的API函数,一句HOOKAPI(假)就可以还原API函数,当然前提是在
本进程,因为地址不能跨进程使用,要想挂勾其他进程,我们可以使用我前面提到的Windows全局消息勾子,为了取得较好的效
果,推荐使用WH_GETMSSAGE类的勾子.要使用全局消息勾子,先要在一个独立的DLL里声明钩子回调函数,看下面的代码:
============================
子程序 GetMsgProc, 整数型, 公开, 钩子回调函数
.参数 code, 整数
参数 wParam, 整数型
.参数 lParam, 整数型
返回 (api_CallNextHookEx (hhook, code, wParam, lParam)) ' 钩子循环 ====================================
主程序通过调用SetWindowsHookEx就可以安装钩子 ,继续看代码;
.子程序 安装全局钩子, 整数型, , 安装全局消息钩子
.参数 DLLPath, 文本型,DLL名
.局部变量 hMod, 整数型
.局部变量 lpProc, 子程序指针
hMod = api_LoadLibraryA (DLLPath)
lpProc = api_GetProcAddress (hMod, “GetMsgProc”)
hook = api_SetWindowsHookExA (#WH_GETMESSAGE, lpProc, hMod, 0)
返回 (hook)
======================================
主程序通过api_UnhookWindowsHookEx(hook)就可以关闭全局钩子.
结合下面的子程序(上期的HOOK_API)便可以还原API.
=============================
.子程序 还原API
.局部变量 i, 整数型
.局部变量 结果, 逻辑型
.局部变量 进程信息, 进程信息输出, , "0"
.局部变量 进程句柄, 整数型
.局部变量 修改内容, 整数型
刷新进程信息 (进程信息) '这个在上期中讲过,我就不重复了.
.计次循环首 (取数组成员数 (进程信息), i)
进程句柄= 打开进程 (2035711, 0, 进程信息 [i].进程标识)
.如果真 (API_BAK ≠ { 0 })
结果= 修改API首地址 (进程句柄, API, API_BAK)
.如果真结束
关闭内核对象 (进程句柄)
.计次循环尾 ()
===========================
可以看出,我们创建的Hook类型是WH_CALLWNDPROC类型,该类型的Hook在进程与系统一通信时就会被加载到进
程空间,从而调用dll的初始化函数完成真正的Hook,而在SetWindowsHookEx函数中指定的HookProc函数将不作任何处
理,只是调用CallNextHookEx将消息交给Hook链中下一个环节处理,因为这里SetWindowsHookEx的唯一作用就是让进程
加载我们的dll。
整个框架就是这样了,具体的就不在细说了.附件里有完整的易源码,大家可以下载下来研究.以上就是一个最简单的Hook
API的例子,该种技术可以完成许多功能。例如网游外挂制作过程中截取发送的与收到的封包(API函数send)即可使用该方
法,或者也可以在Hook到API后加入木马功能,反向连接指定的主机或者监听某一端口,还有许多加壳也是用该原理来隐
藏IAT表,填入自己的函数地址,等等.
希望本文能够对一些朋友有所帮助,当然,一定有许多不足之处,希望看了文章的高手可以指出:
以下程序在Windows XP +sp2和易4.02中测试通过,有什么Bug,请通知我.)
什么叫Hook API?
所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控
制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正的系统API前可
以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲Hook API之前先来看一下如何Hook消息,例如Hook全
局键盘消息,从而可以知道用户按了哪些键.这种Hook消息的功能可以由以下函数来完成,该函数将一新的Hook加入到原
来的Hook链中,当某一消息到达后会依次经过它的Hook链再交给应用程序,这个在我的Windows Hook 易核心编程(1)和(2)
里有具体的说明和应用,大家可以看一看.
.DLL命令 api_SetWindowsHookExA, 整数型, , "SetWindowsHookExA"
.参数 idHook, 整数型, , Hook类型,例如WH_KEYBOARD,WH_MOUSE
.参数 lpfn, 子程序指针, , 钩子回调函数,Hook处理过程函数的地址,
.参数 nMod, 整数型, , 包含Hook处理过程函数的dll句柄(若在本进程可以为NULL)
.参数 dwThreadID, 整数型, , 要Hook的线程ID,若为0,表示全局Hook所有
.DLL命令api_UnhookWindowsHookEx, 逻辑型, , "UnhookWindowsHookEx"
.参数 hhook, 整数型,要关闭钩子的句柄.
这里需要提一下的就是如果是Hook全局的而不是某个特定的进程则需要将Hook过程编写为一个DLL,以便让任何程序
都可以加载它来获取Hook过程函数。而对于Hook API微软并没有提供直接的接口函数,也许它并不想让我们这样做,不过
有2种方法可以完成该功能。第一种,修改可执行文件的IAT表(即输入表),因为在该表中记录了所有调用API的函数地
址,则只需将这些地址改为自己函数的地址即可,但是这样有一个局限,因为有的程序会加壳,这样会隐藏真实的IAT
表,从而使该方法失效。第二种方法是直接跳转,改变API函数的头几个字节,使程序跳转到自己的函数,然后恢复API开
头的几个字节,在调用API完成功能后再改回来又能继续Hook了,但是这种方法也有一个问题就是同步的问题,当然这是
可以克服的,并且该方法不受程序加壳的限制。
上一章我们就是用的第二种方法,通过直接改写API函数ExitWindowsEx入口点为{195}(即汇编的返回命令retn),达到
关机失效的目地,其实这不算是真正的API HOOK,没有实现自定API函数的功能.记得我说过,如果要实现自定API函数,可以写
入一个跳转指令,JMP OX00000(其中OX00000为自定API函数地址),最后还给大家留了一道题,就是参照论坛上的教程写出
自定API函数的功能,不知道大家完成的什么样了,呵呵.
其实,要真正实现API HOOK,用JMP OX00000是不能达到我们的目地的,因为要转移参数,我们先要mov eax OX00000 ,然
后再jmp eax,在易里面用用字节集连起来表示就是:
{ 184 } + 到字节集 (到整数 (&new_api)) + { 255, 224 }
其中new_api就是新的自定API函数地址,结合上期的内容,我们现在就来解析核心代码:
===================================
.子程序 修改API首地址, 逻辑型
.参数 Process, 整数型, , 目标进程句柄
.参数 Papi, 整数型, , 要修改的API函数地址
.参数 type, 字节集, , 要改写的内容,字节集
.局部变量 mbi, 虚拟信息
.局部变量 结果, 逻辑型
.局部变量 MyAPI, 整数型
.局部变量 Ptype, 字节集
.如果真 (Papi = 0)
返回 (假)
.如果真结束
.如果真 (返回虚拟信息 (Process, Papi, mbi, 28) = 0)
返回 (假)
.如果真结束
.如果真 (修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) + 1, #PAGE_EXECUTE_READWRITE, mbi.Protect) = 假)
返回 (假)
.如果真结束
结果 = 写内存字节 (Process, Papi, type, 取字节集长度 (type), 0)
修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) + 1, #PAGE_EXECUTE_READ, mbi.Protect) ' 改回只读模式
返回 (结果)
==================================
这个子程序也就是上期用到的,上一期第3个参数是写的{195},这里换成 { 184 } + 到字节集 (到
整数 (&new_api)) + { 255, 224 }就可以了,新的API函数要和原API函数的参数一样,还拿API函
数ExitWindowsEx来说,看下面的新的API函数:
======================================
.子程序 new_api, 整数型, , 新的API函数,要与原来的API函数的参数一样
.参数 标志, 整数型
.参数 保留值, 整数型
' 给自己留条后门先
.如果 (保留值 = 3389)
HOOKAPI (假)
api_ExitWindowsEx (标志, 保留值)
.否则
信息框 (“您的操作已经被易拦截了!” + #换行符 + “ExitWindowsEx” + #换行符 + “参数<1>:” + 到文本 (标志) + #换行符 + “参数<2>:” + 到文本 (保留值), 0, )
.如果结束
返回 (1)
=======================================
看下面的代码:
.子程序 HOOKAPI, 逻辑型
.参数 是否HOOK, 逻辑型
.局部变量 TYPE, 字节集
.如果 (是否HOOK)
TYPE = { 184 } + 到字节集 (到整数 (&new_ExitWindowsEx)) + { 255, 224 }
返回 (修改API首地址(取当前进程伪句柄 (), API, TYPE))
.否则
返回 (修改API首地址(取当前进程伪句柄 (), API, API_BAK))
当然,改写前,还是要备份和取API函数地址的:
API = 取DLL函数地址 (取程序或DLL句柄 (“user32.dll”), “ExitWindowsEx”)
API_BAK = 指针到字节集 (API, 8)
============================================
这样,只要一句HOOKAPI(真)就可以轻松改写本进程的API函数,一句HOOKAPI(假)就可以还原API函数,当然前提是在
本进程,因为地址不能跨进程使用,要想挂勾其他进程,我们可以使用我前面提到的Windows全局消息勾子,为了取得较好的效
果,推荐使用WH_GETMSSAGE类的勾子.要使用全局消息勾子,先要在一个独立的DLL里声明钩子回调函数,看下面的代码:
============================
子程序 GetMsgProc, 整数型, 公开, 钩子回调函数
.参数 code, 整数
参数 wParam, 整数型
.参数 lParam, 整数型
返回 (api_CallNextHookEx (hhook, code, wParam, lParam)) ' 钩子循环 ====================================
主程序通过调用SetWindowsHookEx就可以安装钩子 ,继续看代码;
.子程序 安装全局钩子, 整数型, , 安装全局消息钩子
.参数 DLLPath, 文本型,DLL名
.局部变量 hMod, 整数型
.局部变量 lpProc, 子程序指针
hMod = api_LoadLibraryA (DLLPath)
lpProc = api_GetProcAddress (hMod, “GetMsgProc”)
hook = api_SetWindowsHookExA (#WH_GETMESSAGE, lpProc, hMod, 0)
返回 (hook)
======================================
主程序通过api_UnhookWindowsHookEx(hook)就可以关闭全局钩子.
结合下面的子程序(上期的HOOK_API)便可以还原API.
=============================
.子程序 还原API
.局部变量 i, 整数型
.局部变量 结果, 逻辑型
.局部变量 进程信息, 进程信息输出, , "0"
.局部变量 进程句柄, 整数型
.局部变量 修改内容, 整数型
刷新进程信息 (进程信息) '这个在上期中讲过,我就不重复了.
.计次循环首 (取数组成员数 (进程信息), i)
进程句柄= 打开进程 (2035711, 0, 进程信息 [i].进程标识)
.如果真 (API_BAK ≠ { 0 })
结果= 修改API首地址 (进程句柄, API, API_BAK)
.如果真结束
关闭内核对象 (进程句柄)
.计次循环尾 ()
===========================
可以看出,我们创建的Hook类型是WH_CALLWNDPROC类型,该类型的Hook在进程与系统一通信时就会被加载到进
程空间,从而调用dll的初始化函数完成真正的Hook,而在SetWindowsHookEx函数中指定的HookProc函数将不作任何处
理,只是调用CallNextHookEx将消息交给Hook链中下一个环节处理,因为这里SetWindowsHookEx的唯一作用就是让进程
加载我们的dll。
整个框架就是这样了,具体的就不在细说了.附件里有完整的易源码,大家可以下载下来研究.以上就是一个最简单的Hook
API的例子,该种技术可以完成许多功能。例如网游外挂制作过程中截取发送的与收到的封包(API函数send)即可使用该方
法,或者也可以在Hook到API后加入木马功能,反向连接指定的主机或者监听某一端口,还有许多加壳也是用该原理来隐
藏IAT表,填入自己的函数地址,等等.
希望本文能够对一些朋友有所帮助,当然,一定有许多不足之处,希望看了文章的高手可以指出:
以下程序在Windows XP +sp2和易4.02中测试通过,有什么Bug,请通知我.)
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Windows Hook 易核心编程(3) API Hook 初探
- Qt svg颜色修改
- spring boot 使用@ConfigurationProperties
- python random
- array_splice.php
- java开发FTP客户端列出指定目录下面所有文件
- Ubuntu14.04中安装Anaconda2-4.0.0的方法
- [转载]Windows Hook 易核心编程<2>远程线程注入 下
- Eclipse 中关联JDK源代码
- Django单元测试简明实践
- eclipse plug-ins导出
- ElasticSearch——Java 内存溢出
- java实现数据库中的数据导入到Excel
- structs2拦截器的实现原理和源码剖析
- 编程学习笔记之java相关::内存回收原理
- sphinx+mysql+php做千万数据级别的搜索引擎
- java中三种常见内存溢出错误的处理方法
- Windows Hook 易核心编程<2>远程线程注入 上
- Java中Jackson库操作json的基本操作
- java设计模式之原型模式