API Hook之inlineHook （附完整代码）

inlineHook原理

通过加载dll,在dll中修改原API的地址，使其跳转到我们伪造的API中，这样就可以在自己的API中执行代码了，进而达成HOOK的目的。

Hook的步骤

1.主程序需要加载编写的dll
在dll中需要做几件事
1.定义伪造的函数
2.保存原有API 的地址
3.更改内存，跳转到伪造的API地址
4.伪造的API中编写代码，还原原有API地址

开始Hook

1.建立两个工程:一个dll项目，一个控制台项目。加载我们自己的dll’
加载dll的代码

    HINSTANCE hTestDll;
    HHANDLE hOldFile;
    LPCTSTR lpszOldFile =L"D:\\c++projects\\add.dll\\Debug.exe";
    hTestDll =LoadLibraryW(L"DllTest");
    if (hTestDll ==NULL)
    {
        return FALSE;
    }   
    //被hook的API
    hOldFile =   CreateFileW(lpszOldFile,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,0);

2.在dll中完成三个任务
第一个构造伪造的API函数

int WINAPI MyCreateFileW(
                         LPCWSTR               lpFileName,
                         DWORD                 dwDesiredAccess,
                         DWORD                 dwShareMode,
                         LPSECURITY_ATTRIBUTES lpSecurityAttributes,
                         DWORD                 dwCreationDisposition,
                         DWORD                 dwFlagsAndAttributes,
                         HANDLE                hTemplateFile
                   )
{



    return 0;
}

第二个保存原有API地址的5个字节，并计算新地址保存。

    //找到被HOOK API的地址

    HMODULE hmod = LoadLibraryW(L"Kernel32.dll");
    pfOldCreaFile =(FARPROC)GetProcAddress(hmod,"CreateFileW");
    if (pfOldCreaFile==NULL)
    {
        MessageBoxW(NULL,L"获取原API入口地址出错",NULL,MB_OK);
        return;
    }

    //汇编形式保存原API前5字节到OldCode
    _asm
    {
        lea edi,OldCode
        mov esi,pfOldCreaFile
        cld
        movsd
        movsb
    }


    NewCode[0]=0xe9; //jmp指令
    //计算伪造的地址，保存到NewCode的后四个字节
   _asm
   {
        lea eax,MyCreateFileW
        mov ebx,pfOldCreaFile
        sub eax,ebx
        sub eax,5
        mov dword ptr [NewCode +1],eax        //MyCreateFileW -pfOldCreaFile-5
   }
    

将指令写入内存当中就完成了HOOK

//获取当前进程ID
    dwPid=GetCurrentProcessId();
    hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,dwPid); 
    DWORD dwOldProtect;
    DWORD dwTemp;


    //内存写入新的地址
    VirtualProtectEx(hProcess,pfOldCreaFile,5,PAGE_READWRITE,&dwOldProtect);  //更改内存属性
    WriteProcessMemory(hProcess,pfOldCreaFile,NewCode,5,0);
    VirtualProtectEx(hProcess,pfOldCreaFile,5,dwOldProtect,&dwTemp);  //更改内存属性

在伪造的API中弹出一个Messagebox,成功则Hook成功

int WINAPI MyCreateFileW(
                         LPCWSTR               lpFileName,
                         DWORD                 dwDesiredAccess,
                         DWORD                 dwShareMode,
                         LPSECURITY_ATTRIBUTES lpSecurityAttributes,
                         DWORD                 dwCreationDisposition,
                         DWORD                 dwFlagsAndAttributes,
                         HANDLE                hTemplateFile
                   )
{
    MessageBoxW(NULL,L"哈哈，你被HOOK了",NULL,MB_OK);
    HookOff();
    return 0;
}

运行我们的exe,

// Tset.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "windows.h"

int _tmain(int argc, _TCHAR* argv[])
{

    HINSTANCE hTestDll;
    HANDLE hOldFile;
    LPCTSTR lpszOldFile =L"D:\\c++projects\\add.dll\\Debug.exe";
    hTestDll =LoadLibraryW(L"DllTest.dll");

    if (hTestDll ==NULL)
    {
        return FALSE;
    }
    //被hook的API
    hOldFile = CreateFileW(lpszOldFile,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,0);
    return 0;

}

弹出messbox ,Hook成功。

image.png

完整代码
https://pan.baidu.com/s/1kTTyjD2ETHHBr5VN3WxyuA
提取码：dr23