您当前的位置:首页 > 计算机 > 编程开发 > Other

Windows的HooK技术实现(支持X86/X64版本)

时间:08-17来源:作者:点击数:

Hook技术应用广泛,如热补丁升级技术,API劫持,软件破解等,是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理,实现方法,同时送上demo实例。

一 . HOOK的基本原理

Hook技术的原理的:就是修改程序的运行时PC指针,让程序跳到我们指定的代码中运行,运行完我们的程序,程序PC指针又回到原来程序的下一条指令。简而言之:就篡改程序的运行路径,来执行我们的程序。

二.Hook技术的实现

1)需求分析

Hook的基本流程

原来的程序中的test.exe调用myprintf,现在我们要实现不编译源代码test.exe和test_dll源代码的前提下(你懂的,破解软件都是拿不到源代码的)让test.exe去调用MyPrintf_new。

其中:

test_dll的实现:

intMyPintf(intd)

{

printf("hello,thisistest,testvalueis%d\n",d);

returnd+1;

}

test.exe的实现:

int_tmain(intargc,_TCHAR*argv[])

{

intd= 0;

d=MyPintf(2);

printf("d %d\n",d);

getchar();

return0;

}

我们目标要实现main函数调用

intMyPintf_new(intd)

{

printf("hello,this is my hook test ,test value is %d\n",d);

returnd+10;

}

其中MyPintf_new我们在hook_dll中实现。

2)关键代码的实现

在hook_dll加载时篡改MyPintf的跳转指令。

其中

GetApiEntrance()备份原来的跳转指令,构造新函数的跳转指令。

HookOn()用于改写进程空间中目标函数的跳转指令

HookOff()用于还原进程空间中目标函数的跳转指令

voidGetApiEntrance()

{

//获取原API入口地址

HMODULEhmod= ::GetModuleHandle(L"test_dll.dll");

OldFun= (fun)::GetProcAddress(hmod,"MyPintf");

pfOldFun= (FARPROC)OldFun;

if(pfOldFun==NULL)

{

printf("获取原API入口地址出错");

return;

}

// OldFun(88);

#ifndefWIN64

//将原API的入口前5个字节代码保存到OldCode[]

_asm

{

leaedi,OldCode//获取OldCode数组的地址,放到edi

movesi,pfOldFun//获取原API入口地址,放到esi

cld //方向标志位,为以下两条指令做准备

movsd//复制原API入口前4个字节到OldCode数组

movsb//复制原API入口第5个字节到OldCode数组

}

NewCode[0] = 0xe9;//实际上0xe9就相当于jmp指令

//获取MyPintf_new的相对地址,为Jmp做准备

//int nAddr= UserFunAddr– SysFunAddr - (我们定制的这条指令的大小);

//Jmp nAddr;

//(我们定制的这条指令的大小), 这里是5,5个字节嘛

//BYTE NewCode[5];

_asm

{

leaeax,MyPintf_new//获取我们的MyPintf_new函数地址

movebx,pfOldFun//原系统API函数地址

subeax,ebx//int nAddr= UserFunAddr– SysFunAddr

subeax, 5//nAddr=nAddr-5

mov dwordptr[NewCode+ 1],eax//将算出的地址nAddr保存到NewCode后面4个字节

//注:一个函数地址占4个字节

}

#else

// JMP_X64(OldCode, pfOldFun, NewCode);

#endif

//填充完毕,现在NewCode[]里的指令相当于Jmp MyPintf_new

//既然已经获取到了JmpMyPintf_new

//现在该是将JmpMyPintf_new写入原API入口前5个字节的时候了

//知道为什么是5个字节吗?

//Jmp指令相当于0xe9,占一个字节的内存空间

//MyPintf_new是一个地址,其实是一个整数,占4个字节的内存空间

//int n=0x123; n占4个字节和MyPintf_new占4个字节是一样的

//1+4=5,知道为什么是5个字节了吧

HookOn();

}

//开启钩子的函数

voidHookOn()

{

#ifdefWIN64

//to do it

#else

DWORDdwPid= ::GetCurrentProcessId();

//printf("pid %d\n", dwPid);

hProcess=OpenProcess(PROCESS_ALL_ACCESS, 0,dwPid);

assert(hProcess!=NULL);

//printf("HookOn now,hProcess %d\n", hProcess);

DWORDdwTemp= 0;

DWORDdwOldProtect;

//修改API函数入口前5个字节为jmp xxxxxx

VirtualProtectEx(hProcess,pfOldFun, 5,PAGE_READWRITE, &dwOldProtect);

WriteProcessMemory(hProcess,pfOldFun,NewCode, 5, 0);

VirtualProtectEx(hProcess,pfOldFun, 5,dwOldProtect, &dwTemp);

#endif

printf("HookOn end\n");

}

//关闭钩子的函数

voidHookOff()

{

#ifdefWIN64

//to do it

#else

assert(hProcess!=NULL);

DWORDdwTemp= 0;

DWORDdwOldProtect;

//恢复API函数入口前5个字节

VirtualProtectEx(hProcess,pfOldFun, 5,PAGE_READWRITE, &dwOldProtect);

WriteProcessMemory(hProcess,pfOldFun,OldCode, 5, 0);

VirtualProtectEx(hProcess,pfOldFun, 5,dwOldProtect, &dwTemp);

#endif

}

4)使用工具将hook_dll.dll打进test.exe导入表,让test.exe拉起hook_dll.dll。

这样test.exe启动时就能加载hook_dll.dll,同时调用GetApiEntrance完成hook的初始化。

三 结果演示

原始的test.exe 演示效果

Hook之后的test.exe演示效果

对于64位hook,由于64位系统的指令系统,寄存器空间也不一样。需要研究一下X64的指令系统以及寄存器使用。基本思路是一样的,唯独就是JMP那条指令实现不一样,敬请期待。

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门