编写dll处理hook逻辑,注入到目标进程,实现api hook。

Windows10 notepad,通过hook kernel32.dll.WriteFile,实现小写字母转大写保存到文件。

hook前kernel32.dll.WriteFile入口:

kernel32.dll.WriteFile在调用时入口是条jmp指令

跳转后

hook时通过GetProcAddress得到的是jmp处的地址,在jmp指令周边有一些int 3指令,这些空间可以用来做一些跳转操作。

#include "pch.h"

#include <tchar.h>

#define DLLNAME "kernel32.dll"

#define WRITEFILE "WriteFile"

BYTE g_pOrgBytes[6] = { 0 };

FARPROC g_writefile = GetProcAddress(GetModuleHandleA(DLLNAME), WRITEFILE);

//此函数用来将api前5个字节改为jmp xxxx

BOOL hook_by_code(FARPROC pfnOrg, PROC pfnNew, PBYTE pOrgBytes) {

    DWORD dwOldProtect, dwAddress;

    BYTE pBuf[6] = { 0xE9,0,0,0,0, 0x90};

    PBYTE pByte;

    pByte = (PBYTE)pfnOrg;

    if (pByte[0] == 0xE9)//若已被勾取,则返回False

        return FALSE;

    VirtualProtect((LPVOID)pfnOrg, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);//为了修改字节,先向内存添加“写”的属性

    memcpy(pOrgBytes, pfnOrg, 6);//备份原有代码

    dwAddress = (DWORD64)pfnNew - (DWORD64)pfnOrg - 5;//计算JMP地址   => XXXX = pfnNew - pfnOrg - 5

    memcpy(&pBuf[1], &dwAddress, 4);//E9,剩下后面4个字节为跳转的地址

    memcpy(pfnOrg, pBuf, 6);//复制指令,跳转到hook逻辑

    memcpy(&pByte[6], pOrgBytes, 6);//后面的int 3指令进行修改,跳转到原api逻辑

    pByte[8] -= 6;//修正跳转偏移

    VirtualProtect((LPVOID)pfnOrg, 12, dwOldProtect, &dwOldProtect);//恢复内存属性

    return TRUE;

}

BOOL unhook_by_code(FARPROC pFunc, PBYTE pOrgBytes) {

    DWORD dwOldProtect;

    PBYTE pByte;

    pByte = (PBYTE)pFunc;

    if (pByte[0] != 0xE9)//若已脱钩,则返回False

        return FALSE;

    VirtualProtect((LPVOID)pFunc, 6, PAGE_EXECUTE_READWRITE, &dwOldProtect);//向内存添加“写”的属性,为恢复原代码做准备

    memcpy(pFunc, pOrgBytes, 6);//脱钩

    VirtualProtect((LPVOID)pFunc, 6, dwOldProtect, &dwOldProtect);//恢复内存属性

    return TRUE;

}

//WINBASEAPI

//BOOL

//WINAPI

//WriteFile(

//    _In_ HANDLE hFile,

//    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

//    _In_ DWORD nNumberOfBytesToWrite,

//    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

//    _Inout_opt_ LPOVERLAPPED lpOverlapped

//);

typedef BOOL(WINAPI* PFWriteFile)(

    _In_ HANDLE hFile,

    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

    _In_ DWORD nNumberOfBytesToWrite,

    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

    _Inout_opt_ LPOVERLAPPED lpOverlapped

    );

BOOL WINAPI  MyWriteFile(

    _In_ HANDLE hFile,

    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

    _In_ DWORD nNumberOfBytesToWrite,

    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

    _Inout_opt_ LPOVERLAPPED lpOverlapped) {

    PBYTE ptr = (PBYTE)g_writefile;

    //unhook_by_code(g_writefile, g_pOrgBytes);

    BOOL ret = TRUE;

    char* pc = (char*)lpBuffer;

    while (*pc)

    {

        if (*pc >= 'a' && *pc <= 'z') {

            *pc -= 0x20;

        }

        pc++;

    }

    ret = ((PFWriteFile)(ptr+6))(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);//原入口偏移+6处是修正的原jmp指令

    //hook_by_code(g_writefile, (PROC)MyWriteFile, g_pOrgBytes);

    return ret;

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        hook_by_code(g_writefile,(PROC)MyWriteFile, g_pOrgBytes);

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

        break;

    case DLL_PROCESS_DETACH:

        unhook_by_code(g_writefile,g_pOrgBytes);

        break;

    }

    return TRUE;

}

hook效果:

《逆向工程核心原理》——API HOOK的更多相关文章

  1. 《逆向工程核心原理》——通过调试方式hook Api

    1.附加目标进程, 2.CREATE_PROCESS_DEBUG_EVENT附加事件中将目标api处设置为0xcc(INT 3断点) 3.EXCEPTION_DEBUG_EVENT异常事件中,首先判断 ...

  2. 《逆向工程核心原理》——IAThook

    hook逻辑写入dll中,注入dll. #include "pch.h" #include <tchar.h> #include "windows.h&quo ...

  3. 《逆向工程核心原理》Windows消息钩取

    DLL注入--使用SetWindowsHookEx函数实现消息钩取 MSDN: SetWindowsHookEx Function The SetWindowsHookEx function inst ...

  4. 《逆向工程核心原理》——DLL注入与卸载

    利用CreateRemoteThread #include <iostream> #include <tchar.h> #include <Windows.h> # ...

  5. 逆向工程核心原理-IA-32寄存器

    IA-32由四类寄存器组成:通用寄存器,段寄存器,程序状态与控制寄存器,指令指针寄存器. 通用寄存器:用于传送和暂存数据,也可参与算数逻辑运算,并保存运算结果. EAX(0-31) 32位      ...

  6. 《逆向工程核心原理》——TLS回调函数

    pe中TLS(thread local storage)中函数的执行时机早于入口函数(entry point), 相关结构: // // Thread Local Storage // typedef ...

  7. API HOOK

    API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等. API HOOK 技术并不是计算机病毒专有技 ...

  8. API HOOK技术

    API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等. API HOOK 技术并不是计算机病毒专有技 ...

  9. API Hook完全手册

    文章来源: http://blog.csdn.net/atfield 原文作者: ATField 整理日期: 2008-07-16 发表评论 字体大小: 小 中 大   注:本文是根据我两年前写的一个 ...

随机推荐

  1. Linux错误记录贴

    add-apt-repository 不要写成 add-apt-repository service  不要写成 sevice 总之在打命令的时候要注意不要拼错单词 对于ls命令权限不够我们可以先su ...

  2. codepen 上25个最受欢迎的HTML/CSS代码

    Codepen是一个非常了不起的网站,优设哥在设计师网址导航上也大力推荐过,得到了很多同学的喜爱,也是全球web前端开发人员的圣地! 我搜索了一些时下最好最流行的codepen(仅限于HTML和CSS ...

  3. Python errors All In One

    Python errors All In One SyntaxError: invalid character in identifier \u200b, ZERO WIDTH SPACE https ...

  4. DB-Engines Ranking : Redis, MongoDB, MySQL

    DB-Engines Ranking http://db-engines.com/en/ranking The DB-Engines Ranking ranks database management ...

  5. 5G & 音频,视频

    5G & 音频,视频 直播,webtrtc 音频,视频 基础知识 基本概念.播放流程.封装格式.编解码.传输协议 音视频播放流程 主要流程:采集 -> 前处理 -> 编码 -> ...

  6. vue & components & props & methods & callback

    vue & components & props & methods & callback demo solution 1 & props & data ...

  7. css useful skills blogs

    css useful skills blogs https://caniuse.com/ https://css-tricks.com https://css-tricks.com/almanac/p ...

  8. NGK推出SPC算力币,开启算力新玩法!

    这两天,NGK公链再度上了热搜.因为既成功的打造DeFi生态以后,NGK又将目光对准了算力市场.试图通过算力代币化,让NGK算力持有者可以获得算力代币,同时,如果不想要了,算力持有者也可以抛售代币. ...

  9. banner自用图床

    放些常用的图做图床,也不在别的平台用.

  10. 遇见ZooKeeper:初识

    0. 什么是ZooKeeper ZooKeeper 是一个开源的分布式,它的设计目标是将那些复杂且容易出错的分布式协同服务封装起来,抽象出一个高效可靠的原语集,并以一系列简单的接口提供个用户使用. Z ...