Hook Windows API 的小测试

 看了hook API 的原理，其中包括inline hook，原理如下：

自己写个hook的小测试，测试hook MessageBox 这个API。

首先写一个只调用MessageBox的小程序，小程序代码如下

.386

.model flat,stdcall

option casemap:none

include windows.inc

include user32.inc

includelib user32.lib

include kernel32.inc

includelib kernel32.lib

   .data

szText db 'HelloWord',0

   .code

start:

   invoke MessageBox,NULL,addr szText,NULL,MB_OK

   invoke ExitProcess,NULL

end start

用ollydbg 跟踪下这个helloworld的小程序

按F7步入MessageBoxA

可以看到 MessageBox 的入口地址为  77d507EA,入口的前5个字节汇编为: MOV EDI,EDI  PUSH EBP  MOV EBP,ESP,根据原理可以把这5个字节的内容修改成跳转指令，跳转到我们自己编写的函数地址，就能实现 hook MessageBox了。

代码实现如下：

第一步先要获得MessageBox的入口地址，

 ，其中hUser32保存句柄，pMessageBox保存MessageBox的地址，变量的定义如下：，因为要改写MessageBox的前5字节的内容，而MessageBox入口地址的内存属性为执行只读，需先修改内存属性为执行读写，

内存属性修改后就可以改写入口地址前5字节的内容了，改写如下：

，需要说明下跳转指令jmp XXXX,jmp的16进制为e9,所以jmp指令可以写成16进制 e9XXXX,其中XXXX的跳转地址为4个字节的偏移地址，上面的 sub ebx,eax，ebx为_NewMessageBox到 MessageBox的偏移地址，jmp指令本省要占用5个字节，所以偏移地址相应的-5，sub ebx,5,把算到e9+偏移地址写到原MessageBox的前5个字节。

其中的_NewMessageBox是要跳转的地址

，这里只是修改了messageBox的第二个参数，把原本弹出框的内容“hello world”改为“hooktest”，后5个字节的内容到时候要修改为跳转到原MessageBox入口地址+5个字节，所以先写了db    0e9h,00,00,00,00，到时候把地址修改为到MessageBox入口地址+5个字节的偏移地址

 

，就基本完成hook messageBox了

完整代码为

，运行程序

可以看到原来弹出框的内容hello world 被修改成了 hooktest,说明hook成功