浅淡 “对 HOOK PE 的学习体会”
浅淡 “对 HOOK PE 的学习体会”
我们都知道,对于PE 文件的结构中,有一个叫做导出表的东西,这个表中存放着这个程序运行所需要的函数。这些函数都存放在一个结构中。如果,我们能够替换这个结构中的某些地址,那么,我们就能够在程序执行之前,拿到控制权。
下边看一下这个结构的示意图:
从这个图中,我们可以清楚的看到,导出表函数名和函数地址组成,它们可以通过导出表获得:
pModuleAddress = PEGetModuleBaseAddress("ntkrnlpa.exe");
pExportDir = (PIMAGE_EXPORT_DIRECTORY)(pModuleBase + pSecHead->VirtualAddress);
dwAddrName = (PDWORD)(pModuleBase + pExportDir->AddressOfNames);
dwAddrFun=(PDWORD)(pModuleBase+pExportDir->AddressOfFunctions;
dwAddrName :也就是指向那个表的第一个函数的名字,从图中可以知道,它们是一种链式结构,那么,我们就可以通过循环来遍历这个链表了。
dwAddrFun : 这是函数的偏移地址,我们可以通过基址 + 偏移的方式快速的定位函数的地址。。。获取方法和上边是一样的。
HOOK 的方法是替换函数的偏移地址,利用这个特性,我们可以快速得到原来的函数的地址,然后换成我们函数相对基址的偏移地址,最后,在我们的函数最后调用原来的函数,因为我们在 HOOK 的时候已经记录了它的地址,还是和原来一样,通过指向这个函数的指针完成。。。
在这里值得注意的是,ntkrnlpa.exe 这个是对于多核 CPU 单核的 ntoskrl.exe …不然的话,可以获取不到我们定位的函数。。。
下边,我们开始了替换的操作:
打印出了函数对应的地址注意最后一个,这是我们想要的,现记住这个地址:
函数名字 ------ZwCreateFile
函数地址-------0x804ff07c
、还有下边我们自定义的函数地址:
MyHookFunc------------------0xf89e37f0
看下边,我们替换完成后的情况。。。
发现什么了吗? 看 ZwCreateFile ------à 0xf89e37f0
和我们上边记录的我们定义的函数是一样,说明了我们 HOOK 住了这个函数。。。
具体的HOOK 过程:
__asm
{
mov eax, MyHookFunc;
sub eax, pModuleBase;
mov uAddress, eax;
}
上边计算出我们定义的函数相对于基址的偏移量,然后填充这个函数的偏移。。。
*dwAddrFun = uAddress;