说到HOOK。我看了非常多的资料和教程。无奈就是学不会HOOK。不懂是我的理解能力差。还是你们说的
不够明确,直到我看了下面这篇文章,最终学会了HOOK:
http://blog.sina.com.cn/s/blog_628821950100xmuc.html //感谢文章作者的分享,让我学会了HOOK
文章出处,好像是这篇:http://blog.csdn.net/glliuxueke/article/details/2702608 //后来才看到
----------------------------------------------------------------------------------------------------------------------------------------------
既然窝已经入门了HOOK,窝会写几篇关于HOOK的文章,让相同想入门HOOK,却难以入门的童鞋
有个參考。这篇是第一篇,希望帮助到有此须要的盆友,我測试的环境都是:Win7+VS2008+MFC
--------------------------------------------------------------------------------------------------------------------------------------------------
第一篇说的是HOOK自己程序的MessageBoxW。诚然HOOK自己程序用到的API在实际应用中没有什么
大的用处,只是我觉得对于我们理解HOOK却有莫大的帮助,因此我的HOOK文章就从HOOK自己的程序
開始。文章后面附有本样例程序的VS2008源代码下载地址。
---------------------------------------------------------------------------------------------------------------------------------------------------
//先看下我写的样例程序及执行效果截图,后面再对其进行分析
//未钩MessageBoxW前
//钩MessageBoxW后
---------------------------------------------------------------------------------------------------------------------
依据我的理解,先说一下HOOK API的一般思路和步骤。
HOOK API的思路就是改动原API的入口。使其跳转到我们的假API入口。
然后运行我们的假API函数。为什么说是假API函数呢?
由于我们的假API,除了函数名称和真实API的名称不一样之外,其他都是同样的。即
它们的函数參数和返回值和调用形式都是一样的。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
HOOK API的一般步骤:
1.定义假API函数
注意假API函数,除了函数名称和真实API不一样之外,其他的都要跟真实API的定义同样,如參数类型和返回值、调用形式等。
如我们能够这样定义假的MessageBoxW:
- int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)
- {
- //定义假API时。详细的函数体代码临时可不写...
- return 0;
- }
至于我们怎样知道真实API的原型定义呢?非常easy,查看MSDN就可以,或者你也能够在VS2008开发环境中,
写下该真实API,然后选中该API。再点鼠标右键,选择【转到定义】,就能够看到其原型声明了。
...........................................................................................................................................................................
2.定义API函数类型
由于我们要动态获取原API函数的地址。获取到后,我们要将其保存起来,保存在哪里呢?
这就是定义API函数类型的原因了,有了API函数类型的定义后。我们就能够用其定义一个变量来 保存获取到的
真实API函数的地址了。比如。我定义的MessageBoxW函数类型的语句例如以下:
- //原函数类型定义
- typedef int (WINAPI* MsgBoxW)(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType);
上面就是定义了API函数类型MsgBoxW,这跟我们常见的int、char、float等类型。使用方法是一样的,
实际上,我们全然能够把MsgBoxW当成int类型来使用,这样一说。API函数类型也只是如此嘛。
有了API函数类型MsgBoxW,我们就能够用其来定义变量,从而为保存原API地址做准备了。
如:
- MsgBoxW OldMsgBoxW=NULL;//指向原函数的指针
有了API函数类型后,我们还须要一个远指针类型的变量,由于系统API是在dll文件里的。很多其它关于
远指针的信息,我如今也不是非常清楚,有兴趣的盆友,最好还是百度一下。系统已经给我们定义好了
远指针类型:FARPROC,我们直接拿来用就可以。如:
- FARPROC pfOldMsgBoxW; //指向函数的远指针
..................................................................................................................................................................................................................
3.获取API函数入口有了保存原API函数地址的变量OldMsgBox和指向原API函数的远指针,我们就能够获取真实API的地址了。
如:
- //获取原API入口地址
- HMODULE hmod=::LoadLibrary(_T("User32.dll"));
- OldMsgBoxW=(MsgBoxW)::GetProcAddress(hmod,"MessageBoxW");
- pfOldMsgBoxW=(FARPROC)OldMsgBoxW;
注意,上面我们将原API地址OldMsgBoxW强制转换成了远指针pfOldMsgBoxW。至于为什么要强制转换。
我如今也不是非常清楚,想知道的童鞋。能够百度一下。
................................................................................................................................................................................................................
4.保存原API入口的前5个字节
保存的目的是为了恢复用的,毕竟我们HOOK了API后,还须要调用真实的API嘛,
怎样保存一个函数入口的前5个字节呢?这里用到了汇编代码,至于不用汇编能够吗?我想是能够的。
有空时,我再试一下,不用汇编能否保存一个API入口的前5个字节。这里就先用别人写的汇编代码吧,
代码例如以下:
- // 将原API的入口前5个字节代码保存到OldCode[]
- BYTE OldCode[5];
- _asm
- {
- lea edi,OldCode //获取OldCode数组的地址,放到edi
- mov esi,pfOldMsgBoxW //获取原API入口地址,放到esi
- cld //方向标志位,为下面两条指令做准备
- movsd //复制原API入口前4个字节到OldCode数组
- movsb //复制原API入口第5个字节到OldCode数组
- }
....................................................................................................................................................................................................................
5.获取新入口的前5个字节
由于我们改动真实API入口的前5个字节。使其跳转到我们假API函数的入口地址。即改成Jmp xxxxxxxx,当中xxxxxxxx就是我们
假API的入口地址,那么我们怎样得到该地址呢?
前人已经总结出了一条公式:
int nAddr= UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);
Jmp nAddr; //我们要获取的就是nAddr的值
既然已经有了公式。我们拿来用就可以,UserFunAddr相当于我们的假API,SysFunAddr相当于真实API,这里指令的大小为5,
实现以上公式的汇编代码例如以下:
- //获取MyMessageBoxW的相对地址,为Jmp做准备
- //int nAddr= UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);
- //Jmp nAddr;
- //(我们定制的这条指令的大小), 这里是5。5个字节嘛
- BYTE NewCode[5];
- _asm
- {
- lea eax,MyMessageBoxW //获取我们的MyMessageBoxW函数地址
- mov ebx,pfOldMsgBoxW //原系统API函数地址
- sub eax,ebx //int nAddr= UserFunAddr – SysFunAddr
- sub eax,5 //nAddr=nAddr-5
- mov dword ptr [NewCode+1],eax //将算出的地址nAddr保存到NewCode后面4个字节
- //注:一个函数地址占4个字节
- }
......................................................................................................................................................................................................................
6.改动真实API入口的前5个字节
前面我们已经保存了真实API入口的前5个字节,也已经计算出了新入口的前5个字节,
可谓万事俱备,仅仅欠东风,如今能够改动真实API入口的前5个字节了。
代码例如以下:
- //填充完成,如今NewCode[]里的指令相当于Jmp MyMessageBoxW
- //既然已经获取到了Jmp MyMessageBoxW
- //如今该是将Jmp MyMessageBoxW写入原API入口前5个字节的时候了
- //知道为什么是5个字节吗?
- //Jmp指令相当于0xe9,占一个字节的内存空间
- //MyMessageBoxW是一个地址,事实上是一个整数,占4个字节的内存空间
- //int n=0x123; n占4个字节和MyMessageBoxW占4个字节是一样的
- //1+4=5,知道为什么是5个字节了吧
- HookOn();
改动API入口前5个字节的HookOn()函数详细代码例如以下:
- //开启钩子的函数
- void HookOn()
- {
- ASSERT(hProcess!=NULL);
- DWORD dwTemp=0;
- DWORD dwOldProtect;
- //改动API函数入口前5个字节为jmp xxxxxx
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,PAGE_READWRITE,&dwOldProtect);
- WriteProcessMemory(hProcess,pfOldMsgBoxW,NewCode,5,0);
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,dwOldProtect,&dwTemp);
- }
以上改动API函数入口前5个字节,用到了两个系统API函数,百度百科里面对它们有具体解释,在此就不说了。
注:hProcess是进程句柄,我们能够这样获取它:
DWORD dwPid=::GetCurrentProcessId();
HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid);
..........................................................................................................................................................................................................
7.恢复API函数入口前5个字节
有改动。就有恢复嘛,恢复函数代码例如以下:
- //关闭钩子的函数
- void HookOff()
- {
- ASSERT(hProcess!=NULL);
- DWORD dwTemp=0;
- DWORD dwOldProtect;
- //恢复API函数入口前5个字节
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,PAGE_READWRITE,&dwOldProtect);
- WriteProcessMemory(hProcess,pfOldMsgBoxW,OldCode,5,0);
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,dwOldProtect,&dwTemp);
- }
注:hProcess是进程句柄。我们能够这样获取它:
DWORD dwPid=::GetCurrentProcessId();
HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid);
以上就是HOOK API的大致流程了,看不明确的盆友,最好还是再看下我写的源代码。文章结合源代码,
希望有助于你们的理解。
源代码下载地址:Hook自己程序的MessageBoxW.zip
学会了HOOK自己的程序,下篇我们再接再厉。HOOK系统全部程序的MessageBoxA和MessageBoxW
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
以下贴一下以上这个程序的主要代码,算是有个总体印象吧:
- //原函数类型定义
- typedef int (WINAPI* MsgBoxW)(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType);
- MsgBoxW OldMsgBoxW=NULL;//指向原函数的指针
- FARPROC pfOldMsgBoxW; //指向函数的远指针
- BYTE OldCode[5]; //原系统API入口代码
- BYTE NewCode[5]; //原系统API新的入口代码 (jmp xxxxxxxx)
- HANDLE hProcess=NULL;//本程序进程句柄
- HINSTANCE hInst=NULL;//API所在的dll文件句柄
- void HookOn();
- void HookOff();
- int WINAPI MyMessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)
- {
- TRACE(lpText);
- HookOff();//调用原函数之前。记得先恢复HOOK呀。不然是调用不到的
- //假设不恢复HOOK,就调用原函数,会造成死循环
- //毕竟调用的还是我们的函数。从而造成堆栈溢出。程序崩溃。
- int nRet=::MessageBoxW(hWnd,_T("哈哈,MessageBoxW被HOOK了"),lpCaption,uType);
-
HookOn();//调用完原函数后。记得继续开启HOOK,不然下次会HOOK不到。
- return nRet;
- }
- //开启钩子的函数
- void HookOn()
- {
- ASSERT(hProcess!=NULL);
- DWORD dwTemp=0;
- DWORD dwOldProtect;
- //改动API函数入口前5个字节为jmp xxxxxx
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,PAGE_READWRITE,&dwOldProtect);
- WriteProcessMemory(hProcess,pfOldMsgBoxW,NewCode,5,0);
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,dwOldProtect,&dwTemp);
- }
- //关闭钩子的函数
- void HookOff()
- {
- ASSERT(hProcess!=NULL);
- DWORD dwTemp=0;
- DWORD dwOldProtect;
- //恢复API函数入口前5个字节
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,PAGE_READWRITE,&dwOldProtect);
- WriteProcessMemory(hProcess,pfOldMsgBoxW,OldCode,5,0);
- VirtualProtectEx(hProcess,pfOldMsgBoxW,5,dwOldProtect,&dwTemp);
- }
- //获取API函数入口前5个字节
- //旧入口前5个字节保存在前面定义的字节数组BYTE OldCode[5]
- //新入口前5个字节保存在前面定义的字节数组BYTE NewCode[5]
- void GetApiEntrance()
- {
- //获取原API入口地址
- HMODULE hmod=::LoadLibrary(_T("User32.dll"));
- OldMsgBoxW=(MsgBoxW)::GetProcAddress(hmod,"MessageBoxW");
- pfOldMsgBoxW=(FARPROC)OldMsgBoxW;
- if (pfOldMsgBoxW==NULL)
- {
- MessageBox(NULL,_T("获取原API入口地址出错"),_T("error!"),0);
- return;
- }
- // 将原API的入口前5个字节代码保存到OldCode[]
- _asm
- {
- lea edi,OldCode //获取OldCode数组的地址,放到edi
- mov esi,pfOldMsgBoxW //获取原API入口地址。放到esi
- cld //方向标志位,为下面两条指令做准备
- movsd //复制原API入口前4个字节到OldCode数组
- movsb //复制原API入口第5个字节到OldCode数组
- }
- NewCode[0]=0xe9;//实际上0xe9就相当于jmp指令
- //获取MyMessageBoxW的相对地址,为Jmp做准备
- //int nAddr= UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);
- //Jmp nAddr;
- //(我们定制的这条指令的大小), 这里是5,5个字节嘛
- BYTE NewCode[5];
- _asm
- {
- lea eax,MyMessageBoxW //获取我们的MyMessageBoxW函数地址
- mov ebx,pfOldMsgBoxW //原系统API函数地址
- sub eax,ebx //int nAddr= UserFunAddr – SysFunAddr
- sub eax,5 //nAddr=nAddr-5
- mov dword ptr [NewCode+1],eax //将算出的地址nAddr保存到NewCode后面4个字节
- //注:一个函数地址占4个字节
- }
- //填充完成,如今NewCode[]里的指令相当于Jmp MyMessageBoxW
- //既然已经获取到了Jmp MyMessageBoxW
- //如今该是将Jmp MyMessageBoxW写入原API入口前5个字节的时候了
- //知道为什么是5个字节吗?
- //Jmp指令相当于0xe9,占一个字节的内存空间
- //MyMessageBoxW是一个地址,事实上是一个整数。占4个字节的内存空间
- //int n=0x123; n占4个字节和MyMessageBoxW占4个字节是一样的
- //1+4=5。知道为什么是5个字节了吧
- HookOn();
- }
- //開始Hook MessageBoxW
- void CHookMsgBoxDlg::OnBnClickedBtnStartHook()
- {
- DWORD dwPid=::GetCurrentProcessId();
- hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid);
- GetApiEntrance();
- SetDlgItemText(IDC_STATIC_INFO,_T("Hook已启动"));
- }
- //调用MessageBoxW
- void CHookMsgBoxDlg::OnBnClickedBtnCallMsgBox()
- {
- ::MessageBoxW(m_hWnd,_T("这是正常的MessageBoxW"),_T("Hello"),0);
- }
- //停止Hook MessageBoxW
- void CHookMsgBoxDlg::OnBnClickedBtnStopHook()
- {
- HookOff();
- SetDlgItemText(IDC_STATIC_INFO,_T("Hook未启动"));
- }