[Win32] API Hook(1)在32位系统上的实现

时间:2022-12-25 05:36:17
 本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/47976067

API Hook技术,虽然很老了,但是依旧是很有用的技术,同时网上的资料往往不能直接拿过来用,c语言的太少。这回呢,我要用C语言来完整的编写一个Win32SDK编程的API Hook源码,但是我还是用cpp保存编译,为哈?因为微软对c语言标准支持的很不好,我不知道vs2013支持c99了吗,用cpp只是为了弥补c89不支持在函数中间定义变量等一系列问题,闲话不多说,进入正题,API hook的方法有很多种,比较常见的有:API inline hook、IAT hook等。

API inline hook的方法是修改API函数的前几个字节,让这几个字节执行无条件跳转指令,跳转到我们自己的函数里,这时候我们就可以根据参数进行一些判断,如果我们愿意放行,还可以恢复函数的前几字节并重新调用原函数,不愿意放行,就直接返回错误,Ring3级的进程保护就是这样实现的。

API inline hook在16位的系统上确实可以非常正常的工作,因为16位系统是单任务的!而如果是在32位的多任务抢占式操作系统上,系统可能会随时切换线程上下文,如果我们刚把函数前几个字节恢复了,系统突然把线程切换到了另一个线程,而那个线程又无巧不成书的调用了我们hook的这个函数,那么后果就是,出现了漏网之鱼!

而IAThook可以克服这个问题,但是IAThook的缺陷更是灾难性的!因为IAThook是通过修改导入地址表实现的,如果动态调用API,IAThook根本无法拦截。

所以,API inline hook虽然有一些小瑕疵,但是绝对是Rin3级hook最好的选择之一!

使用API inline hook需要注意的地方:

1。hook的函数和你的函数必须用一样的形参表

2。hook的函数和你的函数必须用一样的调用约定(我上回就是没有想到这个,导致hook的函数一调用就崩溃)

原因很简单,如果不着么做,后果就是函数调用前后堆栈不平衡,引发程序异常。

3。API inline hook需要在目标进程的地址空间内进行,需要DLL注入,关于注入请看:

DLL注入技术:http://blog.csdn.net/zuishikonghuan/article/details/47781883

好了,上DLL的代码

#include <stdio.h>
#include <windows.h>

unsigned char code[5];
unsigned char oldcode[5];
FARPROC addr;
DWORD pid;

int getpid()
{
	char buffer[255];
	DWORD get = 255;
	//判断环境是否为WOW64
	BOOL isWOW64;
	REGSAM p = KEY_READ;
	IsWow64Process(GetCurrentProcess(), &isWOW64);
	if (isWOW64)p |= KEY_WOW64_64KEY;

	HKEY hKey;
	if (RegCreateKeyEx(HKEY_LOCAL_MACHINE, TEXT("Software\\测试"), 0, NULL, 0, p, NULL, &hKey, NULL) != ERROR_SUCCESS){
		return 0;
	}
	if (RegQueryValueExA(hKey, "Main_PID", 0, NULL, (BYTE*)buffer, &get) != ERROR_SUCCESS){
		return 0;
	}
	return atoi(buffer);
}

HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId){
	HANDLE handle;
	if (getpid() == dwProcessId){
		SetLastError(5);
		return NULL;
	}

	DWORD old;
	if (VirtualProtectEx(GetCurrentProcess(), addr, 5, PAGE_EXECUTE_READWRITE, &old)){
		WriteProcessMemory(GetCurrentProcess(), addr, oldcode, 5, NULL);
		VirtualProtectEx(GetCurrentProcess(), addr, 5, old, &old);
	}
	handle = OpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
	if (VirtualProtectEx(GetCurrentProcess(), addr, 5, PAGE_EXECUTE_READWRITE, &old)){
		WriteProcessMemory(GetCurrentProcess(), addr, code, 5, NULL);
		VirtualProtectEx(GetCurrentProcess(), addr, 5, old, &old);
	}

	return handle;
}

BOOL APIENTRY DllMain(HMODULE hModule,
	DWORD  ul_reason_for_call,
	LPVOID lpReserved
	)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		addr = 0;
		HMODULE hdll; hdll = LoadLibrary(TEXT("Kernel32.dll"));
		addr = GetProcAddress(hdll, "OpenProcess");
		if (addr){
			code[0] = 0xe9;
			DWORD a = (DWORD)MyOpenProcess - (DWORD)addr - 5;
			RtlMoveMemory(code + 1, &a, 4);

			DWORD old;
			if (VirtualProtectEx(GetCurrentProcess(), addr, 5, PAGE_EXECUTE_READWRITE, &old)){
				RtlMoveMemory(oldcode, addr, 5);
				WriteProcessMemory(GetCurrentProcess(), addr, code, 5, NULL);
				VirtualProtectEx(GetCurrentProcess(), addr, 5, old, &old);
			}
		}
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}


有一点需要注意一下,这个代码只对32位有效,64位的见下一篇。注入的方法见“DLL注入技术:http://blog.csdn.net/zuishikonghuan/article/details/47781883”,这里不再重复

下面来简单解释一下这个代码

DLL_PROCESS_ATTACH里,dll加载进目标程序,用GetProcAddress函数得到OpenProcess函数在内存中的位置,code[0]里存储一个jmp指令,jmp指令是根据位移无条件跳转指令,具体可查询win32汇编的资料。

随后计算我们的函数和OpenProcess之间的位移,并存储在code[1-4]里

VirtualProtectEx修改虚拟内存页面保护,如果不修改会引发虚拟内存访问违规。

之后,RtlMoveMemory(oldcode, addr, 5);将原函数的前五个字节保存在oldcode里面,WriteProcessMemory修改前五个字节

MyOpenProcess里面,读取了一个注册表键值,如果相等,则将错误码设置为“拒绝访问”,然后返回NULL,如果不是我们要保护的程序,就暂时恢复OpenProcess,并调用,返回结果。

效果图:

我用的是64位系统,因此我需要启动32位的任务管理器,在这里:C:\Windows\SysWOW64\Taskmgr.exe,32位系统启动普通的任务管理器即可

[Win32] API Hook(1)在32位系统上的实现


[Win32] API Hook(1)在32位系统上的实现