Inline Hook(ring3) 简单源码

很久之前写的，练手之用。

1. 
   
2. #include <stdio.h>
   
3. #include <windows.h>
   
4. #include <psapi.h>
   
5. 
   
6. #pragma comment(lib, "psapi.lib")
   
7. 
   
8. //BYTE      Org_Code[7];    // 备份dll法, 因此就可以不需要
   
9. BYTE        New_Code[7];
   
10. 
    
11. HMODULE     hDllHandle        =        NULL;        // 被 Hook 的 DLL 句柄
    
12. HANDLE      hProcess          =        NULL;        // 进程句柄
    
13. LPVOID      _MessageBoxA      =        NULL;        // MessageBoxA() 原地址
    
14. DWORD       _ShowMessage      =        NULL;        // 自定义函数地址
    
15. 
    
16. void InlineHook();
    
17. //void UnInlineHook();    // 备份dll法, 因此就可以不需要
    
18. void BackupDll();
    
19. // 自定义函数
    
20. int WINAPI ShowMessage(HWND, LPTSTR, LPTSTR, UINT);
    
21. 
    
22. void main()
    
23. {
    
24.     hProcess = ::GetCurrentProcess();
    
25.     hDllHandle = ::LoadLibrary("user32.dll");
    
26.     if (hDllHandle == NULL)
    
27.         return;
    
28. 
    
29.     _MessageBoxA = (LPVOID)::GetProcAddress(hDllHandle, "MessageBoxA");
    
30.     if (_MessageBoxA == NULL)
    
31.         return;
    
32. 
    
33.     BackupDll();
    
34.     InlineHook();
    
35. 
    
36.     char szText[256];
    
37.     char szTitle[256];
    
38. 
    
39.     memset(szText, 0x0, sizeof(szText));
    
40.     memset(szTitle, 0x0, sizeof(szTitle));
    
41. 
    
42.     //////////////////////////////////////////////////////
    
43.     // 下列循环接收来自于用户输入的字符, 并使用 MessageBoxA()
    
44.     //来显示, 尝试下, 看看发生了什么. :)
    
45.     while (TRUE)
    
46.     {
    
47.         printf("Message Text: ");
    
48.         scanf("%s", szText);
    
49.         printf("Message Title: ");
    
50.         scanf("%s", szTitle);
    
51. 
    
52.         MessageBoxA(NULL, szText, szTitle, 0);
    
53.         printf("\n");
    
54.     }
    
55. 
    
56.     return;
    
57. }
    
58. 
    
59. void InlineHook()
    
60. {
    
61.     DWORD _JmpAddr = (DWORD)ShowMessage;
    
62. 
    
63.     // 构造新头部代码
    
64.     New_Code[0] = 0xB8;                        //
    
65.     memcpy(&New_Code[1], &_JmpAddr, 4);        // mov eax, _JmpAddr
    
66.     New_Code[5] = 0xFF;                        //
    
67.     New_Code[6] = 0xE0;                        // jmp eax
    
68. 
    
69.     DWORD dwOldProtect = 0;
    
70. 
    
71.     // 去内存保护
    
72.     ::VirtualProtect(_MessageBoxA, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);
    
73. 
    
74.     //////////////////////////////////////////////////////
    
75.     // 把新代码写入 MessageBoxA() 的头部, 这也是Inline Hook
    
76.     //的核心所在.
    
77.     ::WriteProcessMemory(
    
78.         hProcess,
    
79.         _MessageBoxA,
    
80.         New_Code,
    
81.         sizeof(New_Code),
    
82.         NULL
    
83.     );
    
84. 
    
85.     // 写内存保护
    
86.     ::VirtualProtect(_MessageBoxA, 7, dwOldProtect, &dwOldProtect);
    
87. 
    
88.     return;
    
89. }
    
90. 
    
91. /*
    
92. void UnInlineHook()        // 备份dll法, 因此就可以不需要
    
93. {
    
94.     return;
    
95. }
    
96. */
    
97. 
    
98. int WINAPI ShowMessage(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType)
    
99. {
    
100.     typedef int WINAPI SHOWMSG(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType);
     
101. 
     
102.     SHOWMSG *pShowMsg = (SHOWMSG*)_ShowMessage;
     
103. 
     
104.     //////////////////////////////////////////
     
105.     // 废弃原先传入的参数, 自己定义对话框文本
     
106.     char buf[1024];
     
107.     ::wsprintf(buf, "The Text:“%s” was hacked by miku_fl", lpText);
     
108. 
     
109.     return pShowMsg(hWnd, buf, lpTitle, MB_ICONINFORMATION | MB_TOPMOST);
     
110. }
     
111. 
     
112. void BackupDll()
     
113. {
     
114.     MODULEINFO    Mdl_Info;
     
115.     LPVOID        lpNewDLL    =    NULL;
     
116. 
     
117.     // 获取模块信息
     
118.     ::GetModuleInformation(hProcess, hDllHandle, &Mdl_Info, sizeof(Mdl_Info));
     
119. 
     
120.     /////////////////////////////////////////////////////////////////////
     
121.     // 分配内存空间, 用于备份 dll (这样一来就不需要恢复原头部代码, 调用
     
122.     //完之后再重新写自定义的头部代码).
     
123.     lpNewDLL = ::VirtualAllocEx(
     
124.         hProcess,
     
125.         NULL,
     
126.         Mdl_Info.SizeOfImage,
     
127.         MEM_COMMIT,
     
128.         PAGE_EXECUTE_READWRITE
     
129.     );
     
130.     if (lpNewDLL == NULL)
     
131.         return;
     
132. 
     
133.     // 在分配的内存中写入 dll 文件的内容
     
134.     ::WriteProcessMemory(hProcess, lpNewDLL, Mdl_Info.lpBaseOfDll, Mdl_Info.SizeOfImage, NULL);
     
135. 
     
136.     /////////////////////////////////////////////////////////
     
137.     // 计算自定义函数的地址.
     
138.     // 公式: 自定义地址 = 原API函数地址 - 模块基址 + 分配内存的基址
     
139.     _ShowMessage = (DWORD)_MessageBoxA - (DWORD)Mdl_Info.lpBaseOfDll + (DWORD)lpNewDLL;
     
140. 
     
141.     return;
     
142. }

复制代码

代码里用了备份dll的方法，因此在自定义的函数中可以直接调用在内存中备份的dll代码，而不需要再把函数头部改来改去。用SetWindowsHookEx挂钩住大多数程序，我想应该稳定性会增加许多。

不过要注意的是，例子中没有把原函数的头部几个字节改回去是因为，程序很简单，仅仅测试了效果后便可以退出，没有其他的功能。实际应用中，还要在你注入的dll模块卸载时，把原函数的头几个字节改回去，以免影响到程序继续运行的稳定性。(因为注入的程序不是自己的，我们当然不可能知道它到底在何时、有多少个我们所Hook的函数的调用。)