windows hook (转)


在那里进行总计宣布,希望能够给周边的读者提供参考,达到引玉之砖的结果。

原稿出处,好像是那篇:http://blog.csdn.net/glliuxueke/article/details/2702608 
    //后来才来看的

但是后来认为Windows API Hook适应面更广,而且认为自身入手能学到不少东西,

轮换windows API,荧屏取词等技能。在那之中重要的难题有:

 

然而笔者利用的主意与其不近相同,应该相对比较简单易懂。

原理

     
 大家了解,系统函数都是以DLL封装起来的,应用程序应用到系统函数时,应率先把该DLL加载到日前的历程空间中,

调用的种类函数的入口地址,能够经过
GetProcAddress函数进行获取。当系统函数举行调用的时候,

第3把所必需的音信用保证存下来(包涵参数和再次来到地址,等部分其他音信),然后就跳转到函数的进口地址,继续执行。

实际上函数地址,正是系统函数“可实行代码”的起来地址。那么怎么才能让函数首先实施大家的函数呢?

呵呵,应该知道了啊,把开端的这段可进行代码替换为大家温馨定制的一小段可进行代码,这样系统函数调用时,

不就按咱们的意图乖乖行事了吧?其实,就这么简单。Very very不难。 :P

     
 实际的说,就能够修改系统函数入口的地点,让她调转到大家的函数的入口点就行了。

采纳汇编代码就能大致的完毕Jmp XXXX, 当中XXXX正是要跳转的相持地址。

咱俩的做法是:把系统函数的入口地点的内容替换为一条Jmp指令,指标便是跳到我们的函数进行实施。

而Jmp前面须求的是绝对偏移,也便是我们的函数入口地址到系统函数入口地址之间的差异,再减去大家那条指令的尺寸。

用公式表明如下:(1)int nDelta = UserFunAddr – SysFunAddr –
(大家定制的那条指令的大小);(2)Jmp nDleta;

为了保全原程序的健壮性,大家的函数里做完必要的拍卖后,要回调原来的系统函数,然后回来。

就此调用原来系统函数以前必须先把原来修改的体系函数入口地点给回复,不然,

貌似的话,完成截获socket的主意有那多少个过多,最大旨的,能够写驱动,驱动也有见惯不惊种,TDI驱动,
NDIS驱动,Mini port驱动…

又尚未原工程例子源码下载,因而作者主宰对其重新整理,小说前边附有本身测试时的工程源码下载地址。

要想办好有自然的技术难度。本文是采访了累累达人的以前资料并组成自身的试验得出的心体面会,

注:笔者测试的环境为Win7+VS二零零六+MFC

系统函数地点被大家改成了Jmp XXXX就会又跳到大家的函数里,死循环了。

那么说一下程序执行的长河。
       咱们的dll“注射”入被hook的历程 -> 保存体系函数入口处的代码
-> 替换掉进度中的系统函数入口指向大家的函数 -> 当系统函数被

调用,即刻跳转到大家的函数 -> 大家函数实行处理 ->
复苏系统函数入口的代码 -> 调用原来的系统函数 ->
再修改系统函数入口指向

就决定用Windows API Hook来品尝做socket Hook.

2) API Hook的贯彻格局?

     
 实际上正是对系统函数的交替,当然实现替换的格局差不多不下5,6种呢,能够参照《Windows核心编制程序》第三2章。


鉴于自家动用的是Win3000系统,所以截获socket也得以用Windows
SPI来进展。此外一种就是Windows API Hook技术。

(当然,对于socket的Hook只是在那之中的一种特例)。那种Hook
API技术被广泛的利用在部分天地中,

原来的书文地址:http://blog.sina.com.cn/s/blog_628821950100xmuc.html

前言
       本文首要介绍了怎么样贯彻替换Windows上的API函数,完结Windows API
Hook

1) 选取何种机制来收获socket的调用?

http://blog.csdn.net/friendan/article/details/12226201

由于自身没什么硬件基础,不会写驱动,所以首先种格局没有考虑,而用SPI相对相比不难。

问题
     
 近日和学友研商哪些营造一个Windows上的简要的私人住房防火墙。后来谈论事关到了何等让进度关联套接字端口,

笔者们的函数(为了下次hook)-> 再次回到。于是,三次完整的Hook就马到功成了。

       
好,那些题材通晓之后,讲一下下个难题,就是哪些开始展览dll“注射”?即将大家的dll注射到要Hook的进度中去吧?

很简单哦,那里大家运用调用Windows提需求我们的一些现成的Hook来实行注射。举个例子,鼠标钩子,

键盘钩子我们都知晓啊?大家能够给系统装四个鼠标钩子,然后全数响应到鼠标事件的进程,

就会“自动”(其实是系统处理了)载入大家的dll然后安装相应的钩函数。其实我们的指标只是供给让被注射进度

载入大家的dll就足以了,大家得以再dll实例化的时候进行函数注射的,我们的这些鼠标钩子什么都不干的。


大约的例子OneAddOne

     
讲了下边包车型大巴法则,今后大家应有实战一下了。先不要考虑windows系统那多少个乌烟瘴气的函数,

笔者们温馨编辑一个API函数来展开Hook与被Hook的勤学苦练吧,哈哈。

第③步,首先编写3个Add.dll,很简短,这么些dll只输出三个API函数,就是add啦。
新建叁个win32 dll工程,

图片 1

dllmain.cpp的内容:

[cpp] view
plain
 copy print?

  1. //千万别忘记注脚WINAPI,否则调用的时候回发生表明错误啊!  
  2. int WINAPI add(int a,int b)  
  3. {    
  4.     return a+b;  
  5. }  
  6.   
  7. BOOL APIENTRY DllMain( HANDLE hModule,   
  8.                       DWORD  ul_reason_for_call,   
  9.                       LPVOID lpReserved  
  10.                       )  
  11. {  
  12.     return TRUE;  
  13. }  

下一场别忘了在add.def里面输出函数add:
LIBRARY  Add
DESCRIPTION “ADD LA”
EXPORTS
 add  @1;

图片 2

建完工程后,你会发现并未Add.def文件,那时大家和好新建三个Add.def文件,然后添加到工程中即可,

添加Add.def文书到工程后,大家还索要设置工程的性质,将Add.def添加到【项目】–>【Add属性】–>

【链接器】–>【输入】–>【模块定义文件】,如下图所示,不那样设置的话,我们添加的Add.def文件是

不起成效的啊。

图片 3

安装好后,编写翻译,ok,大家获得了Add.dll


取得Add.dll后,大家能够用一个小工具【dll函数查看器】来打开大家的Add.dll文件,若是函数导出成功的话,我们就足以

在其间来看导出的函数名字了,如下图所示:

图片 4

该工具下载地址:http://download.csdn.net/detail/friendan/6347455     
 //dll函数查看器


有了dll文件后,接下去我们新建三个MFC对话框程序来调用该dll中导出的函数add,

程序界面即运营效果截图如下:

图片 5

首要代码如下:

[cpp] view
plain
 copy print?

  1. //调用dll函数 add(int a,int b)  
  2. void CCallAddDlg::OnBnClickedBtnCallAdd()  
  3. {  
  4.     HINSTANCE hAddDll=NULL;  
  5.     typedef int (WINAPI*AddProc)(int a,int b);//函数原型定义  
  6.     AddProc add;  
  7.     if (hAddDll==NULL)  
  8.     {  
  9.         hAddDll=::LoadLibrary(_T(“Add.dll”));//加载dll  
  10.     }  
  11.     add=(AddProc)::GetProcAddress(hAddDll,”add”);//获取函数add地址  
  12.   
  13.     int a=1;  
  14.     int b=2;  
  15.     int c=add(a,b);//调用函数  
  16.     CString tem;  
  17.     tem.Format(_T(“%d+%d=%d”),a,b,c);  
  18.     AfxMessageBox(tem);  
  19. }  

 


接下去大家举行HOOK,即HOOK大家的Add.dll文件中的函数int add(int a,int b)

新建二个MFC的
dll工程,工程名为Hook,然后我们在Hook.cpp文件之中编写代码如下:

率先在头顶注明如下变量:

[cpp] view
plain
 copy print?

  1. //变量定义  
  2. //不一致Instance共享的该变量  
  3. #pragma data_seg(“SHARED”)  
  4. static HHOOK  hhk=NULL; //鼠标钩子句柄  
  5. static HINSTANCE hinst=NULL; //本dll的实例句柄 (hook.dll)  
  6. #pragma data_seg()  
  7. #pragma comment(linker, “/section:SHARED,rws”)  
  8. //以上的变量共享哦!  
  9.   
  10. CString temp; //用于展示错误的一时变量  
  11. bool bHook=false; //是否Hook了函数  
  12. bool m_bInjected=false; //是否对API进行了Hook  
  13. BYTE OldCode[5]; //老的体系API入口代码  
  14. BYTE NewCode[5]; //要跳转的API代码 (jmp xxxx)  
  15. typedef int (WINAPI*AddProc)(int a,int b);//add.dll中的add函数定义  
  16. AddProc add; //add.dll中的add函数  
  17. HANDLE hProcess=NULL; //所处进度的句柄  
  18. FA奥迪Q3PROC pfadd;  //指向add函数的远指针  
  19. DWO卡宴D dwPid;  //所处进度ID  
  20. //end of 变量定义  

编写鼠标钩子安装、卸载和处理函数:

[cpp] view
plain
 copy print?

  1. //鼠标钩子进程,什么也不做,目标是流入dll到程序中  
  2. LRESULT CALLBACK MouseProc(int nCode,WPARAM wParam,LPARAM lParam)  
  3. {  
  4.     return CallNextHookEx(hhk,nCode,wParam,lParam);  
  5. }  
  6.   
  7. //鼠标钩子安装函数:  
  8. BOOL InstallHook()  
  9. {  
  10.   
  11.     hhk=::SetWindowsHookEx(WH_MOUSE,MouseProc,hinst,0);  
  12.   
  13.     return true;  
  14. }  
  15.   
  16. //卸载鼠标钩子函数  
  17. void UninstallHook()  
  18. {  
  19.     ::UnhookWindowsHookEx(hhk);  
  20. }  

 


在dll实例化函数InitInstance()中,发轫化变量和拓展注入:

[cpp] view
plain
 copy print?

  1. //在dll实例化中拿走部分参数  
  2. BOOL CHookApp::InitInstance()  
  3. {  
  4.     CWinApp::InitInstance();  
  5.   
  6.     //获得dll 实例,进度句柄  
  7.     hinst=::AfxGetInstanceHandle();  
  8.     DWORD dwPid=::GetCurrentProcessId();  
  9.     hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid);   
  10.     //调用注射函数  
  11.     Inject();  
  12.     return TRUE;  
  13. }  

 


编写制定注射函数,即HOOK函数Inject()了:

[cpp] view
plain
 copy print?

  1. //好,最根本的HOOK函数:  
  2. void Inject()  
  3. {  
  4.   
  5.     if (m_bInjected==false)  
  6.     { //保险只调用一遍  
  7.         m_bInjected=true;  
  8.   
  9.         //获取add.dll中的add()函数  
  10.         HMODULE hmod=::LoadLibrary(_T(“Add.dll”));  
  11.         add=(AddProc)::GetProcAddress(hmod,”add”);  
  12.         pfadd=(FARPROC)add;  
  13.   
  14.         if (pfadd==NULL)  
  15.         {  
  16.             AfxMessageBox(L”cannot locate add()”);  
  17.         }  
  18.   
  19.         // 将add()中的入口代码保存入OldCode[]  
  20.         _asm   
  21.         {   
  22.             lea edi,OldCode   
  23.                 mov esi,pfadd   
  24.                 cld   
  25.                 movsd   
  26.                 movsb   
  27.         }  
  28.   
  29.         NewCode[0]=0xe9;//实际上0xe9就一定于jmp指令  
  30.         //获取Myadd()的相持地址  
  31.         _asm   
  32.         {   
  33.             lea eax,Myadd  
  34.                 mov ebx,pfadd   
  35.                 sub eax,ebx   
  36.                 sub eax,5   
  37.                 mov dword ptr [NewCode+1],eax   
  38.         }   
  39.         //填充完毕,今后NewCode[]里的通令也就是Jmp Myadd  
  40.         HookOn(); //能够打开钩子了  
  41.     }  
  42. }  

 


编纂HOOK开启和平息函数HookOn()和HookOff()

[cpp] view
plain
 copy print?

  1. //开启钩子的函数  
  2. void HookOn()   
  3. {   
  4.     ASSERT(hProcess!=NULL);  
  5.   
  6.     DWORD dwTemp=0;  
  7.     DWORD dwOldProtect;  
  8.   
  9.     //将内存保护方式改为可写,老情势保存入dwOldProtect  
  10.     VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect);   
  11.     //将所属进度中add()的前多少个字节改为Jmp Myadd   
  12.     WriteProcessMemory(hProcess,pfadd,NewCode,5,0);  
  13.     //将内部存款和储蓄器爱护形式改回为dwOldProtect  
  14.     VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp);  
  15.   
  16.     bHook=true;   
  17. }  
  18. //关闭钩子的函数  
  19. void HookOff()//将所属进度中add()的输入代码恢复  
  20. {   
  21.     ASSERT(hProcess!=NULL);  
  22.   
  23.     DWORD dwTemp=0;  
  24.     DWORD dwOldProtect;  
  25.   
  26.     VirtualProtectEx(hProcess,pfadd,5,PAGE_READWRITE,&dwOldProtect);   
  27.     WriteProcessMemory(hProcess,pfadd,OldCode,5,0);   
  28.     VirtualProtectEx(hProcess,pfadd,5,dwOldProtect,&dwTemp);   
  29.     bHook=false;   
  30. }  

 


编排我们温馨的Myadd函数()

[cpp] view
plain
 copy print?

  1. //然后,写咱俩友好的Myadd()函数  
  2. int WINAPI Myadd(int a,int b)  
  3. {  
  4.     //截获了对add()的调用,大家给a,b都加1  
  5.     a=a+1;  
  6.     b=b+1;  
  7.   
  8.     HookOff();//关掉Myadd()钩子防止死循环  
  9.   
  10.     int ret;  
  11.     ret=add(a,b);  
  12.   
  13.     HookOn();//开启Myadd()钩子  
  14.   
  15.     return ret;  
  16. }  

然后别忘记在hook.def里面导出大家的八个函数 :

InstallHook  
UninstallHook 

图片 6


接下去就能够展开HOOK的测试了,给前方的对话框程序,再添加多少个按钮,3个用来安装钩子,另3个用以卸载钩子,

次第和平运动行效果截图如下:

图片 7

//未HOOK之前

图片 8

//HOOK之后

图片 9


设置钩子和卸载钩子首要代码如下:

[cpp] view
plain
 copy print?

  1. HINSTANCE hinst=NULL;  
  2. //安装鼠标钩子,实行HOOK  
  3. void CCallAddDlg::OnBnClickedBtnStartHook()  
  4. {  
  5.     typedef BOOL (CALLBACK *inshook)(); //函数原型定义  
  6.     inshook insthook;  
  7.       
  8.     hinst=LoadLibrary(_T(“Hook.dll”));//加载dll文件  
  9.     if(hinst==NULL)  
  10.     {  
  11.         AfxMessageBox(_T(“no Hook.dll!”));  
  12.         return;  
  13.     }  
  14.     insthook=::GetProcAddress(hinst,”InstallHook”);//获取函数地址  
  15.     if(insthook==NULL)  
  16.     {  
  17.         AfxMessageBox(_T(“func not found!”));  
  18.         return;  
  19.     }  
  20.     insthook();//开始HOOK  
  21. }  
  22.   
  23. //卸载鼠标钩子,结束HOOK  
  24. void CCallAddDlg::OnBnClickedBtnStopHook()  
  25. {  
  26.     if (hinst==NULL)  
  27.     {  
  28.         return;  
  29.     }  
  30.     typedef BOOL (CALLBACK *UnhookProc)(); //函数原型定义  
  31.     UnhookProc UninstallHook;  
  32.   
  33.     UninstallHook=::GetProcAddress(hinst,”UninstallHook”);//获取函数地址  
  34.     if(UninstallHook!=NULL)   
  35.     {  
  36.         UninstallHook();  
  37.     }  
  38.     if (hinst!=NULL)  
  39.     {  
  40.         ::FreeLibrary(hinst);  
  41.     }  
  42. }  

 


以上正是事先本身看的那篇作品的重点内容了,关于HOOK系统API,小编会在其它的稿子里面进行认证。

那里再说一下原稿的缺点,笔者觉着其有四个毛病:

1.停歇HOOK时,没有回复被HOOK函数的进口。

2.未曾处理dll退出事件,没有在dll退出事件中回复被HOOK函数入口。

上述多少个毛病,很简单导致程序的崩溃,由此在自身的例子程序中,都对它们举行了处理:

[cpp] view
plain
 copy print?

  1. //卸载鼠标钩子函数  
  2. void UninstallHook()  
  3. {  
  4.     if (hhk!=NULL)  
  5.     {  
  6.         ::UnhookWindowsHookEx(hhk);  
  7.     }  
  8.     HookOff();//记得苏醒原函数入口  
  9. }  
  10.   
  11. //dll退出时  
  12. int CHookApp::ExitInstance()  
  13. {  
  14.     HookOff();//记得恢复原函数入口  
  15.     return CWinApp::ExitInstance();  
  16. }  

 


以上笔者那一个例子工程的下载地址:hook
dll文件中的函数add.zip

http://download.csdn.net/detail/friendan/6348209

友谊提醒:作者在Debug格局运作程序时,HOOK会破产,在Release情势运维程序则HOOK成功。

 

原稿对自个儿的救助一点都不小,正是因为看了初稿,小编才学会了HOOK,鉴于原来的作品的排版不是很好,

如显示屏取词,个人民防空火墙等。那种API
Hook技术并不是很新,不过涉及的圈子相比常见,

相关文章