API Hook技术,虽然很老了,但是依旧是很有用的技术,同时网上的资料往往不能直接拿过来用,c语言的太少。这回呢,我要用C语言来完整的编写一个Win32SDK编程的API Hook源码,但是我还是用cpp保存编译,为哈?因为微软对c语言标准支持的很不好,我不知道vs2013支持c99了吗,用cpp只是为了弥补c89不支持在函数中间定义变量等一系列问题,闲话不多说,进入正题,API hook的方法有很多种,比较常见的有:API inline hook、IAT hook等。
API inline hook的方法是修改API函数的前几个字节,让这几个字节执行无条件跳转指令,跳转到我们自己的函数里,这时候我们就可以根据参数进行一些判断,如果我们愿意放行,还可以恢复函数的前几字节并重新调用原函数,不愿意放行,就直接返回错误,Ring3级的进程保护就是这样实现的。
API inline hook在16位的系统上确实可以非常正常的工作,因为16位系统是单任务的!而如果是在32位的多任务抢占式操作系统上,系统可能会随时切换线程上下文,如果我们刚把函数前几个字节恢复了,系统突然把线程切换到了另一个线程,而那个线程又无巧不成书的调用了我们hook的这个函数,那么后果就是,出现了漏网之鱼!
而IAThook可以克服这个问题,但是IAThook的缺陷更是灾难性的!因为IAThook是通过修改导入地址表实现的,如果动态调用API,IAThook根本无法拦截。
所以,API inline hook虽然有一些小瑕疵,但是绝对是Rin3级hook最好的选择之一!
使用API inline hook需要注意的地方:
1。hook的函数和你的函数必须用一样的形参表
2。hook的函数和你的函数必须用一样的调用约定(我上回就是没有想到这个,导致hook的函数一调用就崩溃)
原因很简单,如果不着么做,后果就是函数调用前后堆栈不平衡,引发程序异常。
3。API inline hook需要在目标进程的地址空间内进行,需要DLL注入,关于注入请看:
DLL注入技术:http://blog.csdn.net/zuishikonghuan/article/details/47781883
好了,上DLL的代码
#include
#include
unsigned char code[5];
unsigned char oldcode[5];
FARPROC addr;
DWORD pid;
int getpid()
{
char buffer[255];
DWORD get = 255;
//判断环境是否为WOW64
BOOL isWOW64;
REGSAM p = KEY_READ;
IsWow64Process(GetCurrentProcess(), &isWOW64);
if (isWOW64)p |= KEY_WOW64_64KEY;
HKEY hKey;
if (RegCreateKeyEx(HKEY_LOCAL_MACHINE, TEXT("Software\\测试"), 0, NULL, 0, p, NULL, &hKey, NULL) != ERROR_SUCCESS){
return 0;
}
if (RegQueryValueExA(hKey, "Main_PID", 0, NULL, (BYTE*)buffer, &get) != ERROR_SUCCESS){
return 0;
}
return atoi(buffer);
}
HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId){
HANDLE handle;
if (getpid() == dwProcessId){
SetLastError(5);
return NULL;
}
DWORD old;
if (VirtualProtectEx(GetCurrentProcess(), addr, 5, PAGE_EXECUTE_READWRITE, &old)){
WriteProcessMemory(GetCurrentProcess(), addr, oldcode, 5, NULL);
VirtualProtectEx(GetCurrentProcess(), addr, 5, old, &old);
}
handle = OpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
if (VirtualProtectEx(GetCurrentProcess(), addr, 5, PAGE_EXECUTE_READWRITE, &old)){
WriteProcessMemory(GetCurrentProcess(), addr, code, 5, NULL);
VirtualProtectEx(GetCurrentProcess(), addr, 5, old, &old);
}
return handle;
}
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
addr = 0;
HMODULE hdll; hdll = LoadLibrary(TEXT("Kernel32.dll"));
addr = GetProcAddress(hdll, "OpenProcess");
if (addr){
code[0] = 0xe9;
DWORD a = (DWORD)MyOpenProcess - (DWORD)addr - 5;
RtlMoveMemory(code + 1, &a, 4);
DWORD old;
if (VirtualProtectEx(GetCurrentProcess(), addr, 5, PAGE_EXECUTE_READWRITE, &old)){
RtlMoveMemory(oldcode, addr, 5);
WriteProcessMemory(GetCurrentProcess(), addr, code, 5, NULL);
VirtualProtectEx(GetCurrentProcess(), addr, 5, old, &old);
}
}
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
有一点需要注意一下,这个代码只对32位有效,64位的见下一篇。注入的方法见“DLL注入技术:http://blog.csdn.net/zuishikonghuan/article/details/47781883”,这里不再重复
下面来简单解释一下这个代码
DLL_PROCESS_ATTACH里,dll加载进目标程序,用GetProcAddress函数得到OpenProcess函数在内存中的位置,code[0]里存储一个jmp指令,jmp指令是根据位移无条件跳转指令,具体可查询win32汇编的资料。
随后计算我们的函数和OpenProcess之间的位移,并存储在code[1-4]里
VirtualProtectEx修改虚拟内存页面保护,如果不修改会引发虚拟内存访问违规。
之后,RtlMoveMemory(oldcode, addr, 5);将原函数的前五个字节保存在oldcode里面,WriteProcessMemory修改前五个字节
MyOpenProcess里面,读取了一个注册表键值,如果相等,则将错误码设置为“拒绝访问”,然后返回NULL,如果不是我们要保护的程序,就暂时恢复OpenProcess,并调用,返回结果。
效果图:
我用的是64位系统,因此我需要启动32位的任务管理器,在这里:C:\Windows\SysWOW64\Taskmgr.exe,32位系统启动普通的任务管理器即可