一:背景

1. 讲故事

在前面的系列中,我们聊过.NET外挂 harmony,他可以对.NET SDK方法进行拦截,这在.NET高级调试领域中非常重要,但这里也有一些遗憾,就是不能对SDK领域之外的函数进行拦截,比如 Win32 函数。。。

这篇我们就来解决这个问题,对,它就是 MinHook,当然我也调查了easyhookdetours,前者年久失修,后者是商业库,加上我的要求相对简单,使用极简版的 minhook 就够了,而且该项目在github上也是非常活跃的:https://github.com/TsudaKageyu/minhook

  • 开箱即用,下载 MinHook_134_bin.zip 即可。
  • 多项目融合,下载 MinHook_134_lib.zip 即可。

二:MinHook 案例演示

1. 开箱即用方式

观察 MinHook.h 头文件,会发现很多的 C 导出函数,如下所示:



#ifdef __cplusplus

extern "C" {

#endif

    // Initialize the MinHook library. You must call this function EXACTLY ONCE

    // at the beginning of your program.

    MH_STATUS WINAPI MH_Initialize(VOID);

    // Uninitialize the MinHook library. You must call this function EXACTLY

    // ONCE at the end of your program.

    MH_STATUS WINAPI MH_Uninitialize(VOID);

    ...

}

有了这些导出函数,就可以通过 C# 的 PInvoke 直接调用,这里就演示一个拦截 MessageBox 方法,完整代码如下:



using System;

using System.Diagnostics;

using System.Runtime.InteropServices;

namespace ConsoleApp2

{

    internal class Program

    {

        static void Main(string[] args)

        {

            // 安装钩子

            HookManager.InstallHook("user32.dll", "MessageBoxW",

                (IntPtr hWnd, string text, string caption, uint type) =>

                {

                    Console.WriteLine($"我已成功拦截到 MessageBox:内容 {text}, 标题: {caption}");

                    var original = Marshal.GetDelegateForFunctionPointer<HookManager.MessageBoxDelegate>(HookManager.OriginalFunction);

                    return original(hWnd, text, caption, type);

                });

            // 测试 MessageBox 调用(钩子会捕获这个)

            MessageBox(IntPtr.Zero, "This is a test", "Test", 0);

            // 卸载钩子

            HookManager.UninstallHook();

            Console.ReadLine();

        }

        [DllImport("user32.dll", CharSet = CharSet.Unicode)]

        private static extern int MessageBox(IntPtr hWnd, string text, string caption, uint type);

    }

    public static class HookManager

    {

        // 定义 MessageBox 的委托

        [UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode)]

        public delegate int MessageBoxDelegate(IntPtr hWnd, string text, string caption, uint type);

        // 原始函数的指针

        public static IntPtr OriginalFunction = IntPtr.Zero;

        // 当前钩子的目标函数地址

        private static IntPtr _targetFunction = IntPtr.Zero;

        public static void InstallHook(string moduleName, string functionName, MessageBoxDelegate detourFunc)

        {

            // 1. 初始化 MinHook

            var status = MinHook.MH_Initialize();

            if (status != MinHook.MH_STATUS.MH_OK)

            {

                Console.WriteLine($"MH_Initialize failed: {status}");

                return;

            }

            // 2. 获取目标函数的地址

            _targetFunction = MinHook.GetProcAddress(MinHook.GetModuleHandle(moduleName), functionName);

            if (_targetFunction == IntPtr.Zero)

            {

                Console.WriteLine($"Failed to get {functionName} address");

                return;

            }

            // 3. 创建钩子

            var detourPtr = Marshal.GetFunctionPointerForDelegate(detourFunc);

            status = MinHook.MH_CreateHook(_targetFunction, detourPtr, out OriginalFunction);

            if (status != MinHook.MH_STATUS.MH_OK)

            {

                Console.WriteLine($"MH_CreateHook failed: {status}");

                return;

            }

            // 4. 启用钩子

            status = MinHook.MH_EnableHook(_targetFunction);

            if (status != MinHook.MH_STATUS.MH_OK)

            {

                Console.WriteLine($"MH_EnableHook failed: {status}");

                return;

            }

            Console.WriteLine($"{functionName} hook installed successfully");

        }

        public static void UninstallHook()

        {

            if (_targetFunction == IntPtr.Zero)

            {

                Console.WriteLine("No active hook to uninstall");

                return;

            }

            // 1. 禁用钩子

            var status = MinHook.MH_DisableHook(_targetFunction);

            if (status != MinHook.MH_STATUS.MH_OK)

            {

                Console.WriteLine($"MH_DisableHook failed: {status}");

            }

            // 2. 移除钩子

            status = MinHook.MH_RemoveHook(_targetFunction);

            if (status != MinHook.MH_STATUS.MH_OK)

            {

                Console.WriteLine($"MH_RemoveHook failed: {status}");

            }

            // 3. 卸载 MinHook

            status = MinHook.MH_Uninitialize();

            if (status != MinHook.MH_STATUS.MH_OK)

            {

                Console.WriteLine($"MH_Uninitialize failed: {status}");

            }

            _targetFunction = IntPtr.Zero;

            OriginalFunction = IntPtr.Zero;

            Console.WriteLine("Hook uninstalled successfully");

        }

    }

    public class MinHook

    {

        // MH_STATUS 枚举

        public enum MH_STATUS

        {

            MH_UNKNOWN = -1,

            MH_OK = 0,

            MH_ERROR_ALREADY_INITIALIZED,

            MH_ERROR_NOT_INITIALIZED,

            MH_ERROR_ALREADY_CREATED,

            MH_ERROR_NOT_CREATED,

            MH_ERROR_ENABLED,

            MH_ERROR_DISABLED,

            MH_ERROR_NOT_EXECUTABLE,

            MH_ERROR_UNSUPPORTED_FUNCTION,

            MH_ERROR_MEMORY_ALLOC,

            MH_ERROR_MEMORY_PROTECT,

            MH_ERROR_MODULE_NOT_FOUND,

            MH_ERROR_FUNCTION_NOT_FOUND

        }

        public IntPtr MH_ALL_HOOKS = IntPtr.Zero;

        // 导入 MinHook 函数

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern MH_STATUS MH_Initialize();

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern MH_STATUS MH_Uninitialize();

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern MH_STATUS MH_CreateHook(IntPtr pTarget, IntPtr pDetour, out IntPtr ppOriginal);

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl, CharSet = CharSet.Unicode)]

        public static extern MH_STATUS MH_CreateHookApi(string pszModule, string pszProcName, IntPtr pDetour, out IntPtr ppOriginal);

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern MH_STATUS MH_RemoveHook(IntPtr pTarget);

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern MH_STATUS MH_EnableHook(IntPtr pTarget);

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern MH_STATUS MH_DisableHook(IntPtr pTarget);

        [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern IntPtr MH_StatusToString(MH_STATUS status);

        [DllImport("kernel32.dll", CharSet = CharSet.Unicode, SetLastError = true)]

        public static extern IntPtr GetModuleHandle(string lpModuleName);

        [DllImport("kernel32.dll", CharSet = CharSet.Ansi, SetLastError = true)]

        public static extern IntPtr GetProcAddress(IntPtr hModule, string lpProcName);

    }

}

由于这个 C# 程序是 32bit 的,所以将 MinHook.x86.dll 拷贝到C#程序的当前目录。

最后将程序运行起来,该有的都出现了。

个人实践下来,我发现有两个小问题:

  1. 当你用 vs 单步调试的时候,走到 MH_CreateHook 方法时会抛 Fatal error. Internal CLR error. (0x80131506) CLR 内部错误,看起来VS调试器做了一些手脚,截图如下:

  1. 当你想在 InstallHook 中的 detourFunc 函数下断点,也不会被命中,截图如下:

总的来说对VS调试有一点影响,但也不太大,还是可以接受的,毕竟用 C# 来调用轻车熟路,如果你熟悉 windbg 的话,用它是一点问题都没有。。。

2. 深度融合方式

用 C# 的 Pinvoke 调用 MinHook,总感觉少了那个味,如果用原汁原味的 C 调用 MinHook 那就相当完美了,在解决一些比较复杂注入非常有必要。

这里我采用 libMinHook.x86.lib 以静态链接的方式将当前的 ConsoleApplication2 和 MinHook 合二为一,截图如下:

接下来做三点配置:

  1. 右键属性 配置下 头文件 和 dll库 搜索路径,截图如下:

  1. 右键属性 配置下 依赖文件名,截图如下:

最后就是完整的 C 代码。



#include <windows.h>

#include <stdio.h>

#include <fcntl.h>

#include <io.h>

#include <MinHook.h>

typedef int (WINAPI* Real_MessageBoxW)(

	HWND hWnd,

	LPCWSTR lpText,

	LPCWSTR lpCaption,

	UINT uType

	);

Real_MessageBoxW fpMessageBoxW = NULL;

int WINAPI Hook_MessageBoxW(

	HWND hWnd,

	LPCWSTR lpText,

	LPCWSTR lpCaption,

	UINT uType)

{

	_setmode(_fileno(stdout), _O_U16TEXT);

	wprintf(L"拦截 MessageBoxW:\n");

	wprintf(L"  文本: %s\n", lpText);  // 移除 &,直接使用 lpText

	wprintf(L"  标题: %s\n", lpCaption);  // 移除 &,直接使用 lpCaption

	return fpMessageBoxW(

		hWnd,

		lpText,

		lpCaption,

		uType);

}

extern "C" __declspec(dllexport) void InstallHook()

{

	HMODULE hModule = GetModuleHandleW(L"user32.dll");

	Real_MessageBoxW pOrigMessageBoxW = (Real_MessageBoxW)GetProcAddress(hModule, "MessageBoxW");

	if (pOrigMessageBoxW == NULL) {

		printf("无法获取 MessageBoxW 地址\n");

		return;

	}

	if (MH_Initialize() != MH_OK) {

		printf("MinHook 初始化失败\n");

		return;

	}

	if (MH_CreateHook(pOrigMessageBoxW, &Hook_MessageBoxW, (void**)&fpMessageBoxW) != MH_OK) {

		printf("创建 Hook 失败\n");

		return;

	}

	if (MH_EnableHook(pOrigMessageBoxW) != MH_OK) {

		printf("启用 Hook 失败\n");

		return;

	}

	printf("MessageBoxW Hook 安装成功\n");

}

extern "C" __declspec(dllexport) void UninstallHook()

{

	MH_DisableHook(MH_ALL_HOOKS);

	MH_Uninitialize();

}

这是只对外公开了 InstallHook 和 UninstallHook 装卸载方法,最后就是高层的 C# 代码。



using System;

using System.Runtime.InteropServices;

namespace ConsoleApp1

{

    internal class Program

    {

        static void Main(string[] args)

        {

            Console.WriteLine("正在安装 MessageBox 钩子...");

            InstallHook();

            Console.WriteLine("将弹出测试消息框,观察输出...");

            // 弹出测试消息框(会被钩子拦截)

            MessageBoxW(IntPtr.Zero, "这是测试内容", "测试标题", 0);

            Console.WriteLine("按任意键退出并卸载钩子...");

            Console.ReadKey();

            UninstallHook();

            Console.WriteLine("钩子已卸载");

        }

        // 导入 user32.dll 的 MessageBoxW

        [DllImport("user32.dll", CharSet = CharSet.Unicode, CallingConvention = CallingConvention.Winapi)]

        public static extern int MessageBoxW(

            IntPtr hWnd,

            string lpText,

            string lpCaption,

            uint uType);

        // 导入DLL中的函数

        [DllImport("ConsoleApplication2.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern void InstallHook();

        [DllImport("ConsoleApplication2.dll", CallingConvention = CallingConvention.Cdecl)]

        public static extern void UninstallHook();

    }

}

在运行之前将 ConsoleApplication2 拷贝到 C# 程序的当前目录,直接运行 C# 项目即可。

三:总结

开箱和融合两种方式都有自己的用途,下一篇我们上一个很真实的场景,让大家体会下 win32 的注入对高级调试领域 的强大功效。

MinHook 如何对.NET底层的 Win32函数 进行拦截(上)的更多相关文章

  1. 在C#中调用Win32函数EnumWindows枚举所有窗口。

    原文 http://www.cnblogs.com/mfm11111/archive/2009/06/30/1514322.html 开发旺旺群发软件,难点及重要技术点分析(一) 一.        ...

  2. C# 互操作性入门系列(二):使用平台调用调用Win32 函数

    好文章搬用工模式启动ing ..... { 文章中已经包含了原文链接 就不再次粘贴了 言明 改文章是一个系列,但只收录了2篇,原因是 够用了 } --------------------------- ...

  3. [转]C# 互操作性入门系列(二):使用平台调用调用Win32 函数

    传送门 C#互操作系列文章: C# 互操作性入门系列(一):C#中互操作性介绍 C# 互操作性入门系列(二):使用平台调用调用Win32 函数 C# 互操作性入门系列(三):平台调用中的数据封送处理 ...

  4. javascript的onbeforeunload函数在IOS上运行

    今天在做项目的时候,组长让我用iPad测试一下前面写的离线缓存,后退不刷新页面,发现在iPad上onbeforeunload函数在iPad上一带而过,不运行??? 无奈之下,发现原来在IOS上,有自己 ...

  5. 采用个hook技术对writefile函数进行拦截(2)

    http://www.cnblogs.com/zhxfl/archive/2011/11/03/2233846.html 这个是笔者之前写过的WriteFile HOOK代码 必须补充对这几个函数的H ...

  6. C语言中的函数与数学上的函数很类似

    函数,是C语言编程中一个很重要的概念,重要到个人认为可以与指针并驾齐驱.好多教材.老师.学习资源都会专门挑出一章来讲函数.我今天也来说说函数,只不过我是从数学课上的函数来引申到C语言中的函数. 先来说 ...

  7. __thiscalll C++底层识别成员函数

    问题描述: class myClass { public: void SetNumber(int nNumber) { m_nInt = nNumber; } private: int m_nInt; ...

  8. C# 中使用win32函数 GetScrollInfo返回false 返回引用全是零的问题

    最近做一个项目要获得ScrollBar的位置,因为.net找不到此类功能,只好用MFC中的函数了,GetScrollPos只返回listview顶部的位置,此时我找到了GetScrollInfo,觉得 ...

  9. Python底层库的函数中from __future__ import absolute_import的作用

    在查看TensorFlow的底层优化器时候看到from __future__ import absolute_import 查找相关资料后发现 这个语句的意思是加入绝对引用的特征 直白的意思是,比如: ...

  10. C#使用Win32函数的一些类型转换

    C#在访问Win 32 Api时需要处理C 结构与C#结构的映射,这在MSDN以及许多Blog上都可以找到参考的资料.Win 32 中有一些定义复杂的Struct,这些结构体拥有长度固定的数组或者一些 ...

随机推荐

  1. Django实战项目-学习任务系统-发送短信通知

    接着上期代码内容,继续完善优化系统功能. 本次增加发送短信通知功能,学习任务系统发布的任务,为了更加及时通知到学生用户,再原有发送邮件通知基础上,再加上手机短信通知功能. 第一步:开通短信通知服务 目 ...

  2. git和github的入门操作

    之前因为工作中用的都是SVN版本控制工具,没接触过git和github,现在开始深入自学Django框架技术后,看到官网推荐使用git,然后这两天网上查阅了很多文章教程,学到入门操作需要学习的点,太多 ...

  3. HTML5 定时通知

    通过setInterval()和Notification来实现定时通知功能. demo <script> window.onload = function () { //每10秒弹出一个桌 ...

  4. AspNetCore MVC 跨域

    通过XMLHttpRequest或者ajax去请求一个AspNetCore API接口服务时,Firefox提示我 已拦截跨源请求:同源策略禁止读取位于 http://localhost:33694/ ...

  5. CSS实现单行显示文本并适应浏览器大小

    实现 .text {     white-space:nowrap;  /*文本不换行*/     overflow: hidden; /*超出文本隐藏*/     text-overflow:ell ...

  6. nodejs队列

    nodejs队列 创建具有指定并发性的队列对象.添加到队列的任务以并行方式处理(直到并发性限制).如果所有的worker都在进行中,任务就会排队,直到有一个worker可用.worker完成任务后,将 ...

  7. RL · Exploration | 使用时序距离构造 intrinsic reward,鼓励 agent 探索

    论文标题:Episodic Novelty Through Temporal Distance. ICLR 2025,8 8 6 5 poster. arxiv:https://arxiv.org/a ...

  8. 使用Python计算汉密尔顿路径

    引言 在图论中,汉密尔顿路径(Hamiltonian Path)是一个经典问题,它在很多实际应用中都有广泛的应用,如网络路由.旅行商问题等.今天,我们将一起探讨如何使用 Python 来计算汉密尔顿路 ...

  9. windows10 激活教程

    1.环境 适用对象:VL版本的windows OEM版本请使用文末工具激活 1.1查询自己电脑版本 [win+R]->输入[slmgr /dlv]->查看[产品密钥通道] slmgr /d ...

  10. web自动化的元素定位

    一.基础元素定位 1.id定位:根据元素的id定位 By.id("id") webDriver.findElement(By.id("tab-account") ...