lnline Hook初试

简单解释下hook：

钩子(Hook)，是Windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

 

hook原理：

每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程序。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。

Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载，Windows 便释放其占用的内存，并更新整个Hook链表。如果程序安装了钩子，但是在尚未卸载钩子之前就结束了，那么系统会自动为它做卸载钩子的操作。

这是我第一次接触hook，写得很简单，对MessageBox函数hook一下下。

下面实验的原理：在指定进程中的内存里找到目标函数的地址，然后修改其首地址的前几字节为jmp指令，指向我们自己的自定义函数地址。这样，进程执行这个函数的时候，会先执行我们自己的代码，之后可以选择性执行原函数或不执行。

流程：

1.构造跳转指令。

2.在内存中找到欲hook函数地址，并保存欲hook位置处的前5个字节。

3.将构造的跳转指令写入需hook的位置处。

4.当被hook位置被执行时会转到我们的流程执行。

5.如果要执行原来的流程，那么取消hook，也就是还原被修改的字节。

6.执行原来的流程。

7.继续hook住原来的位置。

下面就要见具体代码实现了。我们来把hook封装一下。

ILHook.h

#ifndef __ILHOOK_H_1_
#define __ILHOOK_H_1_

#include <Windows.h>

class CILHook{
public:
    CILHook();
    ~CILHook();
    BOOL Hook(LPSTR pszModuleName, LPSTR pszFuncName, PROC pfnHookFunc);
    VOID UnHook();
    BOOL ReHook();

private:
    PROC m_pfnOrig;//函数地址
    BYTE m_bOldBytes[];//函数入口代码
    BYTE m_bNewBytes[];//Inline代码
};

#endif

ILHook.cpp

#include "ILHook.h"

CILHook::CILHook(){
    m_pfnOrig=NULL;
    ZeroMemory(m_bOldBytes, );
    ZeroMemory(m_bNewBytes, );
}
CILHook::~CILHook(){
    UnHook();
}

/*
函数名称：Hook
函数功能：对指定模块中的函数进行挂钩
参数说明：
    pszModuleName：模块名称
    pszFuncName：函数名称
    pfnHookFunc：钩子函数
*/
BOOL CILHook::Hook(LPSTR pszModuleName,LPSTR pszFuncName,PROC pfnHookFunc){
    BOOL bRet=FALSE;
    //获取指定模块中函数的地址
    m_pfnOrig=(PROC)GetProcAddress(GetModuleHandle(pszModuleName),pszFuncName);

    if(m_pfnOrig!=NULL){
        //保存该地址处5个字节的内容
        DWORD dwNum=;
        ReadProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bOldBytes,,&dwNum);
        //构造JMP指令
        m_bNewBytes[]='\xe9';//jmp Opcode
        //pfnHookFunc是HOOK后的目标地址
        //m_pfnOrig是原来的地址
        //5是指令长度
        *(DWORD*)(m_bNewBytes+)=(DWORD)pfnHookFunc-(DWORD)m_pfnOrig-;
        //将构造好的地址写入该地址处
        WriteProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bNewBytes,,&dwNum);

        bRet=TRUE;
    }
    return bRet;
}

/*
函数名称：UnHook
函数功能：取消函数的挂钩
*/
VOID CILHook::UnHook(){
    if(m_pfnOrig!=){
        DWORD dwNum=;
        WriteProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bOldBytes,,&dwNum);
    }
}

/*
函数名称：ReHook
函数功能：重新对函数进行挂钩
*/
BOOL CILHook::ReHook(){
    BOOL bRet=FALSE;
    if(m_pfnOrig!=){
        DWORD dwNum=;
        WriteProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bNewBytes,,&dwNum);
        bRet=TRUE;
    }
    return bRet;
}

test.cpp

#include "ILHook.h"

CILHook MsgHook;

int WINAPI MyMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType){
    MsgHook.UnHook();
    MessageBox(hWnd,"Hook",lpCaption,uType);
    MessageBox(hWnd,lpText,lpCaption,uType);
    MsgHook.ReHook();

    return ;
}

int main(){
    MessageBox(NULL,"test","test",MB_OK);

    MsgHook.Hook("User32.dll","MessageBoxA",(PROC)MyMessageBoxA);
    MessageBox(NULL,"test","test",MB_OK);
    MsgHook.UnHook();

    return ;
}

最后的结果是弹出3个对话框，第一个是正常调用，后两个是跳转到自己的自定义函数里进行两次调用原函数，当然是恢复了hook之后。

这个例子是lnline hook本进程，后面会学习lnline hook非本进程。