该用户从未签到
|
9 p, b, y4 o* B# J+ T& f发表日期:2003-10-30作者:tomh[] 出处: * H' E3 L% Y/ m" ` W/ t) S$ H, _2 e
Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数的拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法,虽然很古老,却很简单实用。 " m! i0 L3 A+ m) j; n
本文一介绍第二种方法在Win2k下的使用。第二种方法,Win98/me 下因为进入Ring0级的方法很多,有LDT,IDT,Vxd等方法,很容易在内存中动态修改代码,但在Win2k下,这些方法都不能用,写WDM太过复杂,表面上看来很难实现,
" d3 }# _1 n8 L# K& Q0 X/ _/ P6 l- B其实不然。Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为: 7 O! H7 g0 A3 t! ?: e. k% F
BOOL VirtualProtectEx(
0 y) w( j* G; T HANDLE hProcess, // 要修改内存的进程句柄 * S1 t5 a" Y7 }, r4 |: W3 C$ f
LPVOID lpAddress, // 要修改内存的起始地址 7 n3 F7 s; Y, ]* @5 W
DWORD dwSize, // 修改内存的字节 " M% Y; n* _8 U7 L: T. B0 ]
DWORD flNewProtect, // 修改后的内存属性 ( P, ]( `8 x' u6 L
PDWORD lpflOldProtect // 修改前的内存属性的地址 ; b1 k3 P9 y& s
);
& _' }& T' a7 j$ h BOOL WriteProcessMemory(
( q) k! P# J& N' w: b; ]) H HANDLE hProcess, // 要写进程的句柄
7 e% p2 L, _, g LPVOID lpBaseAddress, // 写内存的起始地址
9 j8 v6 H# T' T& c" q; ]7 b LPVOID lpBuffer, // 写入数据的地址 3 t! n9 j$ k' H0 I: J
DWORD nSize, // 要写的字节数
0 F( G( S9 J! T0 c: g LPDWORD lpNumberOfBytesWritten // 实际写入的子节数 ) A" g4 e& f( z" `1 I' ?' F
);
6 T+ z9 t3 Z; W3 Z8 A0 p4 }- x BOOL ReadProcessMemory(
8 A" s3 Y+ [! u! ~4 k. k HANDLE hProcess, // 要读进程的句柄 5 h- p$ R7 b( k) Q8 Y
LPCVOID lpBaseAddress, // 读内存的起始地址
- A$ T7 z2 Z8 W) O* D# k& w' K! X LPVOID lpBuffer, // 读入数据的地址
; Y' X1 V2 U+ z2 F DWORD nSize, // 要读入的字节数 " r* m; S4 h8 h+ @, Z9 Y
LPDWORD lpNumberOfBytesRead // 实际读入的子节数 , \" a) j) O4 C( t! U, K# X8 y
);
3 D2 y4 l, O, ?: o; u具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间,这点又和Win9x/me存在所有进程存在共享的地址空间不同, ; c3 K) @6 B2 [+ H G# K5 T+ @
因此,必须通过钩子函数和远程注入进程的方法,现以一个简单采用钩子函数对MessageBoxA进行拦截例子来说明:
9 d8 H% F, [, l, _其中Dll文件为: ; b2 z7 _1 f6 m3 H V8 U _
HHOOK g_hHook;
3 s- F( a& U+ Q% w2 n1 T) l& C5 ~ HINSTANCE g_hinstDll; . `: Y% t5 T( @' d7 W( c
FARPROC pfMessageBoxA;
" U1 ?9 N, j. W( E int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType);
' s4 H! k) ]8 x$ l BYTE OldMessageBoxACode[5],NewMessageBoxACode[5];
* J" e! Q& r8 n HMODULE hModule ;
& G$ }+ H3 ]$ q! X& y' X5 I- a1 E DWORD dwIdOld,dwIdNew; & D. h7 v: o5 ^4 G! p9 p3 x
BOOL bHook=false; ) X( B4 N) l M. D7 g7 m, L2 Z
void HookOn();
6 ~: e8 H, c# R, T; _ void HookOff();
+ M' x9 y. K0 m, L* t0 o2 o BOOL init(); 8 S# j3 Y& v' |/ P2 \, A$ _
LRESULT WINAPI MousHook(int nCode,WPARAM wParam,LPARAM lParam);
- a+ r+ H1 f* d3 P; ^0 Q) J: e- nBOOL APIENTRY DllMain( HANDLE hModule,
( V7 e* {5 E4 C# z DWORD ul_reason_for_call, 1 v: c- z1 n2 u. X$ B
LPVOID lpReserved
' u* h ]# @! W' B8 b )
9 ~' v! L! v& R I9 X{
! | h. t+ q4 a$ H1 D switch (ul_reason_for_call) & V$ Q+ R. c/ ~* a7 E, X: s& h/ N
{ & [: \7 R+ I8 A6 M# B+ e4 s
case DLL_PROCESS_ATTACH:
: l7 H3 a# G! _$ Z2 L7 Q if(!init())
- {" a- X: d7 n' M: v: B' X- V! P {
! q* J/ {7 w" @+ I( a MessageBoxA(NULL,"Init","ERROR",MB_OK);
" I) X3 S3 J( j& u3 ^5 v3 u return(false);
& \, w M# z7 D* r9 _7 i: |% F }
/ r' q0 o% N. |. g9 Q case DLL_THREAD_ATTACH: ' Q/ N) N+ B" M) E0 O6 j' Y
case DLL_THREAD_DETACH: & u5 n; {0 U7 l
case DLL_PROCESS_DETACH: ; h' m' k0 q: f
if(bHook) UnintallHook(); , ]$ G) ^. N) ^
break;
% h5 {% P. o E6 t }
$ \# O7 d7 p9 N) g5 J! m return TRUE; * d3 ]7 \% r( O7 t2 @
}
% }& Q& g! k! O6 _ H4 ^LRESULT WINAPI Hook(int nCode,WPARAM wParam,LPARAM lParam)//空的钩子函数
+ O, p) O+ y+ k, B{
' v @% D5 P/ ]) n # B$ \2 n+ I/ ], p" `
return(CallNextHookEx(g_hHook,nCode,wParam,lParam));
2 K# I0 d# N: @0 j/ F2 D}
1 m1 M6 } N" }3 b C M$ @( _HOOKAPI2_API BOOL InstallHook()//输出安装空的钩子函数 : b4 ?) g0 f. r% F
{ + ^- w% E/ ~/ I% ]$ g1 K/ U
g_hinstDll=LoadLibrary("HookApi2.dll"); 8 t3 `+ T8 D h6 f; J& [# J' l
g_hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)Hook,g_hinstDll,0); 2 V. b! H4 K# R
if (!g_hHook)
a! ?$ b2 G3 T! J- V{ ) T: s8 S D$ E# z% c" H
MessageBoxA(NULL,"SET ERROR","ERROR",MB_OK);
2 K( O: n; \9 ?& ?6 h return(false);
) l8 _, p D9 v7 R4 P# F } ! e- c, @( E" ?9 H s
) S" K1 h" v y8 l8 {) I' |( s2 [/ U
# ^6 e# F' v$ P# n7 S' i return(true);
; Z" n( M' U1 G" q5 c) |9 M} " S8 D# j7 ?6 ]; w
HOOKAPI2_API BOOL UninstallHook()//输出御在钩子函数
, |2 D: C- @4 S$ \# Y: ^{
% y6 b! Q g" Y" j: a l/ ~5 k
' u" U6 c3 F0 D' k return(UnhookWindowsHookEx(g_hHook)); ! m/ u' U2 V, W- k7 G/ l1 o: [
} $ N2 ^. H( n2 y5 c( t* |1 S/ `
BOOL init()//初始化得到MessageBoxA的地址,并生成Jmp XXX(MyMessageBoxA)的跳转指令
! \6 Q; r& a$ {7 f{
8 D) o; T3 T( q0 x* w5 T hModule=LoadLibrary("user32.dll");
5 H" J0 i1 w8 `& L0 A0 U pfMessageBoxA=GetProcAddress(hModule,"MessageBoxA");
$ g$ {2 \' r. }) G% }/ R; V if(pfMessageBoxA==NULL) % q* b3 h( `) N3 M8 B J3 m: a
return false; ' @# ~9 U# h6 Z8 y5 C1 _7 N% |
_asm
% X& Y1 _* f) b9 o X# Y+ Q { 1 D" m _0 t8 F: z! O0 `# |1 W
lea edi,OldMessageBoxACode # @: q. B" W' `* `) y
mov esi,pfMessageBoxA 3 ^/ [1 T" Z; a2 R+ d# ?& E1 i
cld
$ I/ }" f- y, v% u7 j/ q6 B" N movsd - L. Z/ e5 i1 |
movsb
8 Y4 ?- M. b' v! P% N6 G }
2 y: {2 `0 L$ `) }; W4 A7 _- K NewMessageBoxACode[0]=0xe9;//jmp MyMessageBoxA的相对地址的指令 3 ~6 c: J e& _8 J3 d
_asm
3 _* p3 P) N, ], {3 k { ) N7 o# p6 i0 i$ X- v4 \! \: i7 `/ `
lea eax,MyMessageBoxA , k b6 m5 {5 C( j4 G
mov ebx,pfMessageBoxA 3 o# T: h/ N; N& x. V, i! A
sub eax,ebx
: t3 k2 F) l( {1 O2 `5 X- i* `/ [ sub eax,5
, D, Q6 L6 G- F9 G% M/ v mov dword ptr [NewMessageBoxACode+1],eax
; B- P2 t" ~6 s# E8 c+ d }
7 N) R) Z# a- H6 m dwIdNew=GetCurrentProcessId(); //得到所属进程的ID 2 E- d, J' T: x ^
dwIdOld=dwIdNew;
. b5 _% F8 M: O1 b m, h; V0 e HookOn();//开始拦截 ) K* _' k9 X& O: b. v; i
return(true);
! B1 p' S" |# w1 h}
; a( ]- O: q) |' [int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption, UINT uType )//首先关闭拦截,然后才能调用被拦截的Api 函数 ' C3 C- P9 }2 S
{ ( H0 X% ^- P& [8 K
int nReturn=0;
5 Q2 b# Z. Q$ J4 ~ HookOff();
1 O4 n, m( E# W! q: s! t/ X4 | nReturn=MessageBoxA(hWnd,"Hook",lpCaption,uType);
) ]* Q5 X* U+ ~. W: _# s6 Q HookOn(); , } o, a6 h3 ^" j
return(nReturn); * d8 @! L) q/ ]
} 1 G/ r4 }7 |+ P( p& k& L4 b9 Y
void HookOn() # T9 X9 s6 T$ d6 g. R
{ 2 p+ y0 T7 S5 F! `; y; w
HANDLE hProc;
+ J2 v7 O9 C0 e. ~ dwIdOld=dwIdNew;
& f) P! L2 A L# O6 I' G0 V5 _ hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);//得到所属进程的句柄
! Y) a1 _ e4 V2 i- [9 s9 |1 z VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为可写
3 l$ I+ o4 n" h7 t Q. o9 T WriteProcessMemory(hProc,pfMessageBoxA,NewMessageBoxACode,5,0);//将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA 6 H0 F$ f- ^' D& a; J+ E" @
VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为原来的属性 , p, f }2 B9 ?; g% z# e
bHook=true;
- |" p; A" y4 C% y6 _}
$ n% j" ~2 V$ _# F" U* Evoid HookOff()//将所属进程中JMP MyMessageBoxA的代码改为Jmp MessageBoxA
1 E, K/ H1 Q e* L5 V6 }7 w{
# ?9 ?' {& z( A9 H% @$ h HANDLE hProc; 6 }' K4 H/ M; O2 s/ v/ C/ @, o% S3 r
dwIdOld=dwIdNew;
& I- z( n8 l8 |, s. Q4 J hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);
' ^# t" b* W/ L6 A+ s/ w8 z1 c VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);
$ a; S* h8 _8 k7 ~ WriteProcessMemory(hProc,pfMessageBoxA,OldMessageBoxACode,5,0);
9 \) c i: V$ |) i; }$ t) u# q+ t VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);
: v/ k) o }, ~7 H) p4 w bHook=false; + w" ? }" {; L7 X2 u
} ! ~$ l9 O$ m. d" L. R; `4 |
//测试文件:
. A8 \( i, ]( O& T* iint APIENTRY WinMain(HINSTANCE hInstance, # _5 ~" X9 ]' z% A1 }( ?: E j( d
HINSTANCE hPrevInstance, , ]7 s! e& ?% @! D8 `7 X
LPSTR lpCmdLine,
% L+ G! L8 I: Y- | N! Y int nCmdShow)
. @! Z" E! U' y+ H) E{
' ^! j& @- v+ O: H+ ?/ t7 @! |0 q( @
' o/ P; z3 {' D if(!InstallHook())
4 b4 J2 C# C' _4 o1 h {
" ^! v4 ]( ], V- i9 C0 n N6 p. O0 O- d MessageBoxA(NULL,"Hook Error!","Hook",MB_OK); I& d" _- [7 l$ b( [* u5 n! ]" s* |1 g
return 1; 4 Q6 v- r0 k4 U# V% |
}
4 l- ]; {* Z! R8 _: g7 z MessageBoxA(NULL,"TEST","TEST",MB_OK);//可以看见Test变成了Hook,也可以在其他进程中看见 ! `1 b6 {3 |9 H1 r7 [
if(!UninstallHook()) F* J$ g% U3 j1 g0 F) v! M1 p2 h
{
& A k) ]& b# n# I: y MessageBoxA(NULL,"Uninstall Error!","Hook",MB_OK); : B7 h" \9 }+ V
return 1; 9 G2 [$ S) e. Y- c! w6 }
} 0 ~) u, r" X d, c. p7 ~2 `
return 0;
9 C8 f/ B" w* {8 ^) i+ N% I} & e# Q4 N/ A+ { u# M9 [' b4 ?9 t
[此贴子已经被作者于2004-11-5 18:12:27编辑过]
$ `; P/ l5 Y8 |! z! X' ] |
|