Hook Windows API 的小测试

 看了hook API 的原理,其中包括inline hook,原理如下:

Hook Windows API 的小测试_第1张图片

自己写个hook的小测试,测试hook MessageBox 这个API

首先写一个只调用MessageBox的小程序,小程序代码如下

.386

.model flat,stdcall

option casemap:none

include windows.inc

include user32.inc

includelib user32.lib

include kernel32.inc

includelib kernel32.lib

   .data

szText db 'HelloWord',0

   .code

start:

   invoke MessageBox,NULL,addr szText,NULL,MB_OK

   invoke ExitProcess,NULL

end start

Hook Windows API 的小测试_第2张图片

ollydbg 跟踪下这个helloworld的小程序

Hook Windows API 的小测试_第3张图片

F7步入MessageBoxA

Hook Windows API 的小测试_第4张图片

可以看到 MessageBox 的入口地址为  77d507EA,入口的前5个字节汇编为: MOV EDI,EDI  PUSH EBP  MOV EBP,ESP,根据原理可以把这5个字节的内容修改成跳转指令,跳转到我们自己编写的函数地址,就能实现 hook MessageBox了。

代码实现如下:

第一步先要获得MessageBox的入口地址,

 ,其中hUser32保存句柄,pMessageBox保存MessageBox的地址,变量的定义如下:Hook Windows API 的小测试_第5张图片,因为要改写MessageBox的前5字节的内容,而MessageBox入口地址的内存属性为执行只读,需先修改内存属性为执行读写,

内存属性修改后就可以改写入口地址前5字节的内容了,改写如下:

,需要说明下跳转指令jmp XXXX,jmp16进制为e9,所以jmp指令可以写成16进制 e9XXXX,其中XXXX的跳转地址为4个字节的偏移地址,上面的 sub ebx,eax,ebx为_NewMessageBox到 MessageBox的偏移地址,jmp指令本省要占用5个字节,所以偏移地址相应的-5,sub ebx,5,把算到e9+偏移地址写到原MessageBox的前5个字节。

其中的_NewMessageBox是要跳转的地址

,这里只是修改了messageBox的第二个参数,把原本弹出框的内容“hello world”改为“hooktest”,后5个字节的内容到时候要修改为跳转到原MessageBox入口地址+5个字节,所以先写了db    0e9h,00,00,00,00,到时候把地址修改为MessageBox入口地址+5个字节的偏移地址

 

,就基本完成hook messageBox

完整代码为

Hook Windows API 的小测试_第6张图片

,运行程序

Hook Windows API 的小测试_第7张图片

可以看到原来弹出框的内容hello world 被修改成了 hooktest,说明hook成功

你可能感兴趣的:(win32-汇编)