编写dll处理hook逻辑,注入到目标进程,实现api hook。

Windows10 notepad,通过hook kernel32.dll.WriteFile,实现小写字母转大写保存到文件。

hook前kernel32.dll.WriteFile入口:

kernel32.dll.WriteFile在调用时入口是条jmp指令

跳转后

hook时通过GetProcAddress得到的是jmp处的地址,在jmp指令周边有一些int 3指令,这些空间可以用来做一些跳转操作。

#include "pch.h"

#include <tchar.h>

#define DLLNAME "kernel32.dll"

#define WRITEFILE "WriteFile"

BYTE g_pOrgBytes[6] = { 0 };

FARPROC g_writefile = GetProcAddress(GetModuleHandleA(DLLNAME), WRITEFILE);

//此函数用来将api前5个字节改为jmp xxxx

BOOL hook_by_code(FARPROC pfnOrg, PROC pfnNew, PBYTE pOrgBytes) {

    DWORD dwOldProtect, dwAddress;

    BYTE pBuf[6] = { 0xE9,0,0,0,0, 0x90};

    PBYTE pByte;

    pByte = (PBYTE)pfnOrg;

    if (pByte[0] == 0xE9)//若已被勾取,则返回False

        return FALSE;

    VirtualProtect((LPVOID)pfnOrg, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);//为了修改字节,先向内存添加“写”的属性

    memcpy(pOrgBytes, pfnOrg, 6);//备份原有代码

    dwAddress = (DWORD64)pfnNew - (DWORD64)pfnOrg - 5;//计算JMP地址   => XXXX = pfnNew - pfnOrg - 5

    memcpy(&pBuf[1], &dwAddress, 4);//E9,剩下后面4个字节为跳转的地址

    memcpy(pfnOrg, pBuf, 6);//复制指令,跳转到hook逻辑

    memcpy(&pByte[6], pOrgBytes, 6);//后面的int 3指令进行修改,跳转到原api逻辑

    pByte[8] -= 6;//修正跳转偏移

    VirtualProtect((LPVOID)pfnOrg, 12, dwOldProtect, &dwOldProtect);//恢复内存属性

    return TRUE;

}

BOOL unhook_by_code(FARPROC pFunc, PBYTE pOrgBytes) {

    DWORD dwOldProtect;

    PBYTE pByte;

    pByte = (PBYTE)pFunc;

    if (pByte[0] != 0xE9)//若已脱钩,则返回False

        return FALSE;

    VirtualProtect((LPVOID)pFunc, 6, PAGE_EXECUTE_READWRITE, &dwOldProtect);//向内存添加“写”的属性,为恢复原代码做准备

    memcpy(pFunc, pOrgBytes, 6);//脱钩

    VirtualProtect((LPVOID)pFunc, 6, dwOldProtect, &dwOldProtect);//恢复内存属性

    return TRUE;

}

//WINBASEAPI

//BOOL

//WINAPI

//WriteFile(

//    _In_ HANDLE hFile,

//    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

//    _In_ DWORD nNumberOfBytesToWrite,

//    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

//    _Inout_opt_ LPOVERLAPPED lpOverlapped

//);

typedef BOOL(WINAPI* PFWriteFile)(

    _In_ HANDLE hFile,

    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

    _In_ DWORD nNumberOfBytesToWrite,

    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

    _Inout_opt_ LPOVERLAPPED lpOverlapped

    );

BOOL WINAPI  MyWriteFile(

    _In_ HANDLE hFile,

    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

    _In_ DWORD nNumberOfBytesToWrite,

    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

    _Inout_opt_ LPOVERLAPPED lpOverlapped) {

    PBYTE ptr = (PBYTE)g_writefile;

    //unhook_by_code(g_writefile, g_pOrgBytes);

    BOOL ret = TRUE;

    char* pc = (char*)lpBuffer;

    while (*pc)

    {

        if (*pc >= 'a' && *pc <= 'z') {

            *pc -= 0x20;

        }

        pc++;

    }

    ret = ((PFWriteFile)(ptr+6))(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);//原入口偏移+6处是修正的原jmp指令

    //hook_by_code(g_writefile, (PROC)MyWriteFile, g_pOrgBytes);

    return ret;

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        hook_by_code(g_writefile,(PROC)MyWriteFile, g_pOrgBytes);

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

        break;

    case DLL_PROCESS_DETACH:

        unhook_by_code(g_writefile,g_pOrgBytes);

        break;

    }

    return TRUE;

}

hook效果:

《逆向工程核心原理》——API HOOK的更多相关文章

  1. 《逆向工程核心原理》——通过调试方式hook Api

    1.附加目标进程, 2.CREATE_PROCESS_DEBUG_EVENT附加事件中将目标api处设置为0xcc(INT 3断点) 3.EXCEPTION_DEBUG_EVENT异常事件中,首先判断 ...

  2. 《逆向工程核心原理》——IAThook

    hook逻辑写入dll中,注入dll. #include "pch.h" #include <tchar.h> #include "windows.h&quo ...

  3. 《逆向工程核心原理》Windows消息钩取

    DLL注入--使用SetWindowsHookEx函数实现消息钩取 MSDN: SetWindowsHookEx Function The SetWindowsHookEx function inst ...

  4. 《逆向工程核心原理》——DLL注入与卸载

    利用CreateRemoteThread #include <iostream> #include <tchar.h> #include <Windows.h> # ...

  5. 逆向工程核心原理-IA-32寄存器

    IA-32由四类寄存器组成:通用寄存器,段寄存器,程序状态与控制寄存器,指令指针寄存器. 通用寄存器:用于传送和暂存数据,也可参与算数逻辑运算,并保存运算结果. EAX(0-31) 32位      ...

  6. 《逆向工程核心原理》——TLS回调函数

    pe中TLS(thread local storage)中函数的执行时机早于入口函数(entry point), 相关结构: // // Thread Local Storage // typedef ...

  7. API HOOK

    API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等. API HOOK 技术并不是计算机病毒专有技 ...

  8. API HOOK技术

    API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等. API HOOK 技术并不是计算机病毒专有技 ...

  9. API Hook完全手册

    文章来源: http://blog.csdn.net/atfield 原文作者: ATField 整理日期: 2008-07-16 发表评论 字体大小: 小 中 大   注:本文是根据我两年前写的一个 ...

随机推荐

  1. element-ui & babel-plugin-component config bug

    element-ui & babel-plugin-component config bug vue-cli bad babel.config.js module.exports = { pr ...

  2. js console.log color all in one

    js console.log color all in one console.log color Chrome console.log 语法 / grammar %c, %s, css style ...

  3. es6 & map & set

    es6 & map & set Map & WeakMap https://developer.mozilla.org/en-US/docs/Web/JavaScript/Re ...

  4. 专利 & 发明专利 & 专利查询

    专利 & 发明专利 & 专利查询 PDF 文档中表格解析的方法.系统.存储介质及电子设备 中国专利公布公告 http://epub.sipo.gov.cn/index.action 中 ...

  5. 以代码为剑、数学为犁,SPC构建NGK算力生态体系

    人类创造工具,工具反过来也改变着人类.以区块链为核心的货币革命率先吹响了对金融世界重塑的号角.以代码为剑.数学为犁,区块链构建了新的网路信任体系,这是一切的开始.基于此,NGK区块链技术将赋能实体产业 ...

  6. django学习-11.开发一个简单的醉得意菜单和人均支付金额查询页面

    1.前言 刚好最近跟技术部门的[产品人员+UI人员+测试人员],组成了一桌可以去公司楼下醉得意餐厅吃饭的小team. 所以为了实现这些主要点餐功能: 提高每天中午点餐效率,把点餐时间由20分钟优化为1 ...

  7. C++算法代码——级数求和[NOIP2002 普及组]

    题目来自:http://218.5.5.242:9018/JudgeOnline/problem.php?id=1078 或者:https://www.luogu.com.cn/problem/P10 ...

  8. 聊聊CacheLine

    本文转载自聊聊CacheLine 导语 文章聊聊缓存一致性协议中我们提到过,缓存里面最小的单位是缓存行/缓存条目,但是缓存中的具体存储结构是什么样的,缓存行中有存放的是什么?在缓存中是如何寻找指定是还 ...

  9. C++实现String类

    1 #include<iostream> 2 #include<cstring> 3 4 class String 5 { 6 public: 7 String(); 8 St ...

  10. vue版本一直是2.9.6版本,卸载也卸载不掉,更新也更新不了

    原文链接:https://blog.csdn.net/zlzbt/article/details/110136755 主要是找到本地文件 E:\StudyFile\VueStudy λ where v ...