VC进程相关的学习(四)(API截获)
0 PE文件(.exe)
a 一开始是一段Dos程序,就是那个“必须运行在XXX环境”的警告头(IMAGE_DOS_SIGNATURE)。
b 接着这个DOS头,首先是IMAGE_NT_HEADER,都是一些PE文件信息,在它的尾端是Data Directory数据表,能快速决定PE的段(section)地址。
c 下来是IMAGE_SECTION_HEADER的列表,记录着每一个段的信息。
d 再下来就是段数据,执行代码,数据资源那些东东了。
这些东西会放在地址0x400000的地方,就是Histance的值,程序开始的位置。
在这些段里,有一个".idata"段(输入数据段),该地方有着IAT,加载的DLL的API都在这里,大概像这个样子:
JWP DWORD PTR [XXXXXXXXX]
或者
CALL DWORD PTR [XXXXXXXXX]
这里面的XXXXXXXX,就是系统API所在的位置,所以我们要做的就是,把XXXXXXXX改成我们的函数地址,执行完我们的函数再杀回来就好了。
导入地址表(IAT):Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE文件被装入内存的时候,Windows装载器才将DLL装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成,其中导入地址表就指示函数实际地址。
1 程序指令内存空间的写入
因为指令空间有Windows的保护,不能直接指针指过去修改,需要如下操作
void MyHook::_writeProcessMemorySystem(LPVOID pDec, LPVOID pSrc, UINT nLength) { MEMORY_BASIC_INFORMATION mbi_thunk; VirtualQuery(pDec, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION)); // 查询页信息 VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, PAGE_READWRITE, &mbi_thunk.Protect); // 改变页的保护信息为读写 memcpy(pDec, pSrc, nLength); DWORD dwOldProtect; VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, mbi_thunk.Protect, &dwOldProtect); // 恢复保护属性 }
2 查找DLL模块的IAT
PIMAGE_IMPORT_DESCRIPTOR MyHook::_locationIAT(string strImportMod) { // 检查是否为DOS程序,DOS程序没有IAT PIMAGE_DOS_HEADER pDosHeader = static_cast<PIMAGE_DOS_HEADER>(_handle); if(pDosHeader->e_magic != IMAGE_DOS_SIGNATURE) { return NULL; } // 检查是否为NT程序 PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + (DWORD)(pDosHeader->e_lfanew)); if(pNTHeader->Signature != IMAGE_NT_SIGNATURE) { return NULL; } // 检查是否有IAT if(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress == 0) { return NULL; } // 定位第一个IAT PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pDosHeader + (DWORD)(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress)); while(pImportDesc->Name) { // 如果有名字,获取其名字 PSTR szCurrMod = (PSTR)((DWORD)pDosHeader + (DWORD)(pImportDesc->Name)); if(stricmp(szCurrMod, strImportMod.c_str()) == 0) { // 找到了就停下来 break; } pImportDesc++; } if(pImportDesc->Name == NULL) { return NULL; } return pImportDesc; }
3 查找IAT中的函数
OOL MyHook::hookAPIByName(std::string strImportMod, MyHook::HOOKAPI *pHookApi) { _handle = g_hInstance; if(_state == MYHOOK_NULL) { return FALSE; } PIMAGE_IMPORT_DESCRIPTOR pImportDesc = _locationIAT(strImportMod); if(pImportDesc == NULL) { return FALSE; } PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((DWORD)_handle + (DWORD)(pImportDesc->OriginalFirstThunk)); // 第一个THUNK PIMAGE_THUNK_DATA pRealThunk = (PIMAGE_THUNK_DATA)((DWORD)_handle + (DWORD)(pImportDesc->FirstThunk)); // 第一个IAT的THUNK // 查找IAT,替换函数 while(pOrigThunk->u1.Function) { // 检查此THUNK是否为IAT项 if((pOrigThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG) { // 获取此IAT的函数名 PIMAGE_IMPORT_BY_NAME pByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)_handle + (DWORD)(pOrigThunk->u1.AddressOfData)); if(pByName->Name[0] == '/0') { return FALSE; } // 检测是否为所找的函数 if(stricmp(pHookApi->strFunctionName.c_str(), (char*)pByName->Name) == 0) { if(pHookApi->pOldFunc != NULL) { pHookApi->pOldFunc = (PROC)pRealThunk->u1.Function; } _writeProcessMemorySystem((LPVOID)&(pRealThunk->u1.Function), (LPVOID)&(pHookApi->pNewFunc), sizeof(DWORD)); Funs[pHookApi->strFunctionName] = *pHookApi; } } pOrigThunk++; pRealThunk++; } SetLastError(ERROR_SUCCESS); return TRUE; }
4 使用范例
typedef int(WINAPI *Mb)(HWND, LPCSTR, LPCSTR, UINT); static int WINAPI MessageBoxA1(HWND hWnd, LPCSTR p1, LPCSTR p2, UINT uType) { Mb func = (Mb)(MyHook::instance().Funs["MessageBoxA"].pOldFunc); return func(hWnd, "HOOK", "HOOK", uType); } VARIANT_BOOL STDMETHODCALLTYPE CMyRock::OnMouseClick(IHTMLEventObj* _pEvtObj) { // IHTMLEventObj里包括了当前所有操作信息,具体按F1吧 // 如果VARIANT_FALSE将忽略此事件 MyHook::HOOKAPI api; api.strFunctionName = std::string("MessageBoxA"); api.pNewFunc = (PROC)MessageBoxA1; MyHook::instance().hookAPIByName("user32.dll", &api); MessageBoxA(NULL, "1111111111111111", "1111111111111111111", 0); return VARIANT_TRUE; }
5 注意:通过IE测试发现,此种方法只能获取用Depneds看到在上面加载的DLL,而后来加载的,以及DLL加载的DLL都是无法获得的。