编写dll处理hook逻辑,注入到目标进程,实现api hook。

Windows10 notepad,通过hook kernel32.dll.WriteFile,实现小写字母转大写保存到文件。

hook前kernel32.dll.WriteFile入口:

kernel32.dll.WriteFile在调用时入口是条jmp指令

跳转后

hook时通过GetProcAddress得到的是jmp处的地址,在jmp指令周边有一些int 3指令,这些空间可以用来做一些跳转操作。

#include "pch.h"

#include <tchar.h>

#define DLLNAME "kernel32.dll"

#define WRITEFILE "WriteFile"

BYTE g_pOrgBytes[6] = { 0 };

FARPROC g_writefile = GetProcAddress(GetModuleHandleA(DLLNAME), WRITEFILE);

//此函数用来将api前5个字节改为jmp xxxx

BOOL hook_by_code(FARPROC pfnOrg, PROC pfnNew, PBYTE pOrgBytes) {

    DWORD dwOldProtect, dwAddress;

    BYTE pBuf[6] = { 0xE9,0,0,0,0, 0x90};

    PBYTE pByte;

    pByte = (PBYTE)pfnOrg;

    if (pByte[0] == 0xE9)//若已被勾取,则返回False

        return FALSE;

    VirtualProtect((LPVOID)pfnOrg, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);//为了修改字节,先向内存添加“写”的属性

    memcpy(pOrgBytes, pfnOrg, 6);//备份原有代码

    dwAddress = (DWORD64)pfnNew - (DWORD64)pfnOrg - 5;//计算JMP地址   => XXXX = pfnNew - pfnOrg - 5

    memcpy(&pBuf[1], &dwAddress, 4);//E9,剩下后面4个字节为跳转的地址

    memcpy(pfnOrg, pBuf, 6);//复制指令,跳转到hook逻辑

    memcpy(&pByte[6], pOrgBytes, 6);//后面的int 3指令进行修改,跳转到原api逻辑

    pByte[8] -= 6;//修正跳转偏移

    VirtualProtect((LPVOID)pfnOrg, 12, dwOldProtect, &dwOldProtect);//恢复内存属性

    return TRUE;

}

BOOL unhook_by_code(FARPROC pFunc, PBYTE pOrgBytes) {

    DWORD dwOldProtect;

    PBYTE pByte;

    pByte = (PBYTE)pFunc;

    if (pByte[0] != 0xE9)//若已脱钩,则返回False

        return FALSE;

    VirtualProtect((LPVOID)pFunc, 6, PAGE_EXECUTE_READWRITE, &dwOldProtect);//向内存添加“写”的属性,为恢复原代码做准备

    memcpy(pFunc, pOrgBytes, 6);//脱钩

    VirtualProtect((LPVOID)pFunc, 6, dwOldProtect, &dwOldProtect);//恢复内存属性

    return TRUE;

}

//WINBASEAPI

//BOOL

//WINAPI

//WriteFile(

//    _In_ HANDLE hFile,

//    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

//    _In_ DWORD nNumberOfBytesToWrite,

//    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

//    _Inout_opt_ LPOVERLAPPED lpOverlapped

//);

typedef BOOL(WINAPI* PFWriteFile)(

    _In_ HANDLE hFile,

    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

    _In_ DWORD nNumberOfBytesToWrite,

    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

    _Inout_opt_ LPOVERLAPPED lpOverlapped

    );

BOOL WINAPI  MyWriteFile(

    _In_ HANDLE hFile,

    _In_reads_bytes_opt_(nNumberOfBytesToWrite) LPCVOID lpBuffer,

    _In_ DWORD nNumberOfBytesToWrite,

    _Out_opt_ LPDWORD lpNumberOfBytesWritten,

    _Inout_opt_ LPOVERLAPPED lpOverlapped) {

    PBYTE ptr = (PBYTE)g_writefile;

    //unhook_by_code(g_writefile, g_pOrgBytes);

    BOOL ret = TRUE;

    char* pc = (char*)lpBuffer;

    while (*pc)

    {

        if (*pc >= 'a' && *pc <= 'z') {

            *pc -= 0x20;

        }

        pc++;

    }

    ret = ((PFWriteFile)(ptr+6))(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);//原入口偏移+6处是修正的原jmp指令

    //hook_by_code(g_writefile, (PROC)MyWriteFile, g_pOrgBytes);

    return ret;

}

BOOL APIENTRY DllMain(HMODULE hModule,

    DWORD  ul_reason_for_call,

    LPVOID lpReserved

)

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        hook_by_code(g_writefile,(PROC)MyWriteFile, g_pOrgBytes);

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

        break;

    case DLL_PROCESS_DETACH:

        unhook_by_code(g_writefile,g_pOrgBytes);

        break;

    }

    return TRUE;

}

hook效果:

《逆向工程核心原理》——API HOOK的更多相关文章

  1. 《逆向工程核心原理》——通过调试方式hook Api

    1.附加目标进程, 2.CREATE_PROCESS_DEBUG_EVENT附加事件中将目标api处设置为0xcc(INT 3断点) 3.EXCEPTION_DEBUG_EVENT异常事件中,首先判断 ...

  2. 《逆向工程核心原理》——IAThook

    hook逻辑写入dll中,注入dll. #include "pch.h" #include <tchar.h> #include "windows.h&quo ...

  3. 《逆向工程核心原理》Windows消息钩取

    DLL注入--使用SetWindowsHookEx函数实现消息钩取 MSDN: SetWindowsHookEx Function The SetWindowsHookEx function inst ...

  4. 《逆向工程核心原理》——DLL注入与卸载

    利用CreateRemoteThread #include <iostream> #include <tchar.h> #include <Windows.h> # ...

  5. 逆向工程核心原理-IA-32寄存器

    IA-32由四类寄存器组成:通用寄存器,段寄存器,程序状态与控制寄存器,指令指针寄存器. 通用寄存器:用于传送和暂存数据,也可参与算数逻辑运算,并保存运算结果. EAX(0-31) 32位      ...

  6. 《逆向工程核心原理》——TLS回调函数

    pe中TLS(thread local storage)中函数的执行时机早于入口函数(entry point), 相关结构: // // Thread Local Storage // typedef ...

  7. API HOOK

    API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等. API HOOK 技术并不是计算机病毒专有技 ...

  8. API HOOK技术

    API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等. API HOOK 技术并不是计算机病毒专有技 ...

  9. API Hook完全手册

    文章来源: http://blog.csdn.net/atfield 原文作者: ATField 整理日期: 2008-07-16 发表评论 字体大小: 小 中 大   注:本文是根据我两年前写的一个 ...

随机推荐

  1. hdu5693D++游戏 区间DP-暴力递归

    主要的收获是..如何优化你递推式里面不必要的决策 之前的代码 这个代码在HDU超时了,这就对了..这个复杂度爆炸.. 但是这个思路非常地耿直..那就是只需要暴力枚举删两个和删三个的情况,于是就非常耿直 ...

  2. BB link

    1 1 1 BB link: 1 1 demo: code: result: 1 1 1 1 1 1 1

  3. npm & cli & node.js

    npm & cli & node.js https://www.npmjs.com/ https://www.npmjs.com/settings/xgqfrms/packages h ...

  4. 星盟全球投资副总裁DENIEL SOIBIM:如何激发创造力

    丹尼尔·索比姆毕业于加州理工大学,2005年通过创建投资俱乐部对潜力公司进行天使投资,获得了美国Blue Run高层的重视,任营收专家评估师,为Blue Run项目提案做风险评估,09年与泰勒·亚当斯 ...

  5. 「NGK每日快讯」12.29日NGK第56期官方快讯!

  6. node应用层中间件使用

    var express = require("express") var path = require("path") var app = express() ...

  7. 开源OA办公平台搭建教程:O2OA+Arduino实现物联网应用(二)

    O2OA平台搭建 O2OA的开发环境非常简单,安装服务器后即可通过浏览器进行开发了和使用.具体可参考文档库中的其他文档,有比较详细的介绍,这里就不再赘述了. Arduino开发发环境搭建 安装Ardu ...

  8. CentOS7安装Kibana7.9.2

    1:下载 wget https://artifacts.elastic.co/downloads/kibana/kibana-7.9.2-linux-x86_64.tar.gz 点击进入官网 安装手册 ...

  9. IntelliJ Idea Error Address localhost 1099 is already in use.

        Reference: https://stackoverflow.com/questions/38986910/intellij-idea-address-localhost1099-is-a ...

  10. Django框架admin后台管理和用户端静态文件

    目录 一.admin后台管理 1. 如何使用 2. 路由分发的本质 二.用户上传的静态文件的展示 1. media配置 2. 手动开设media接口 三.图片防盗链 一.admin后台管理 djang ...