下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 4074|回复: 2
打印 上一主题 下一主题

[资料库]Win2K下的Api函数的拦截

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2004-11-5 18:09:00 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

9 p, b, y4 o* B# J+ T& f发表日期:2003-10-30作者:tomh[] 出处: * H' E3 L% Y/ m" `  W/ t) S$ H, _2 e
Api拦截并不是一个新的技术,很多商业软件都采用这种技术。对windows的Api函数的拦截,不外乎两种方法,第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节,种方法,很安全,但很复杂,而且有些exe文件,没有Dll的输入符号的列表,有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法,虽然很古老,却很简单实用。 " m! i0 L3 A+ m) j; n
  本文一介绍第二种方法在Win2k下的使用。第二种方法,Win98/me 下因为进入Ring0级的方法很多,有LDT,IDT,Vxd等方法,很容易在内存中动态修改代码,但在Win2k下,这些方法都不能用,写WDM太过复杂,表面上看来很难实现,
" d3 }# _1 n8 L# K& Q0 X/ _/ P6 l- B其实不然。Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx,WriteProcessMemeory,ReadProcessMemeory,有了它们我们就能在内存中动态修改代码了,其原型为: 7 O! H7 g0 A3 t! ?: e. k% F
     BOOL VirtualProtectEx(
0 y) w( j* G; T                HANDLE hProcess,   // 要修改内存的进程句柄 * S1 t5 a" Y7 }, r4 |: W3 C$ f
                LPVOID lpAddress,  // 要修改内存的起始地址 7 n3 F7 s; Y, ]* @5 W
                DWORD dwSize,    // 修改内存的字节 " M% Y; n* _8 U7 L: T. B0 ]
                DWORD flNewProtect, // 修改后的内存属性 ( P, ]( `8 x' u6 L
                PDWORD lpflOldProtect // 修改前的内存属性的地址 ; b1 k3 P9 y& s
                );
& _' }& T' a7 j$ h    BOOL WriteProcessMemory(
( q) k! P# J& N' w: b; ]) H                HANDLE hProcess, // 要写进程的句柄
7 e% p2 L, _, g                LPVOID lpBaseAddress, // 写内存的起始地址
9 j8 v6 H# T' T& c" q; ]7 b                LPVOID lpBuffer, // 写入数据的地址 3 t! n9 j$ k' H0 I: J
                DWORD nSize,   // 要写的字节数
0 F( G( S9 J! T0 c: g                LPDWORD lpNumberOfBytesWritten // 实际写入的子节数 ) A" g4 e& f( z" `1 I' ?' F
                );
6 T+ z9 t3 Z; W3 Z8 A0 p4 }- x    BOOL ReadProcessMemory(
8 A" s3 Y+ [! u! ~4 k. k                HANDLE hProcess, // 要读进程的句柄 5 h- p$ R7 b( k) Q8 Y
                LPCVOID lpBaseAddress,  // 读内存的起始地址
- A$ T7 z2 Z8 W) O* D# k& w' K! X                LPVOID lpBuffer, // 读入数据的地址
; Y' X1 V2 U+ z2 F                DWORD nSize,   // 要读入的字节数 " r* m; S4 h8 h+ @, Z9 Y
                LPDWORD lpNumberOfBytesRead  // 实际读入的子节数 , \" a) j) O4 C( t! U, K# X8 y
                );
3 D2 y4 l, O, ?: o; u具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间,这点又和Win9x/me存在所有进程存在共享的地址空间不同, ; c3 K) @6 B2 [+ H  G# K5 T+ @
因此,必须通过钩子函数和远程注入进程的方法,现以一个简单采用钩子函数对MessageBoxA进行拦截例子来说明:
9 d8 H% F, [, l, _其中Dll文件为: ; b2 z7 _1 f6 m3 H  V8 U  _
     HHOOK g_hHook;
3 s- F( a& U+ Q% w2 n1 T) l& C5 ~     HINSTANCE g_hinstDll; . `: Y% t5 T( @' d7 W( c
     FARPROC pfMessageBoxA;
" U1 ?9 N, j. W( E     int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType);
' s4 H! k) ]8 x$ l     BYTE OldMessageBoxACode[5],NewMessageBoxACode[5];
* J" e! Q& r8 n     HMODULE hModule ;
& G$ }+ H3 ]$ q! X& y' X5 I- a1 E     DWORD dwIdOld,dwIdNew; & D. h7 v: o5 ^4 G! p9 p3 x
     BOOL bHook=false; ) X( B4 N) l  M. D7 g7 m, L2 Z
     void HookOn();
6 ~: e8 H, c# R, T; _     void HookOff();
+ M' x9 y. K0 m, L* t0 o2 o     BOOL init(); 8 S# j3 Y& v' |/ P2 \, A$ _
LRESULT WINAPI MousHook(int nCode,WPARAM wParam,LPARAM lParam);
- a+ r+ H1 f* d3 P; ^0 Q) J: e- nBOOL APIENTRY DllMain( HANDLE hModule,
( V7 e* {5 E4 C# z            DWORD ul_reason_for_call, 1 v: c- z1 n2 u. X$ B
            LPVOID lpReserved
' u* h  ]# @! W' B8 b           )
9 ~' v! L! v& R  I9 X{
! |  h. t+ q4 a$ H1 D  switch (ul_reason_for_call) & V$ Q+ R. c/ ~* a7 E, X: s& h/ N
  { & [: \7 R+ I8 A6 M# B+ e4 s
    case DLL_PROCESS_ATTACH:
: l7 H3 a# G! _$ Z2 L7 Q      if(!init())
- {" a- X: d7 n' M: v: B' X- V! P      {
! q* J/ {7 w" @+ I( a             MessageBoxA(NULL,"Init","ERROR",MB_OK);
" I) X3 S3 J( j& u3 ^5 v3 u             return(false);
& \, w  M# z7 D* r9 _7 i: |% F      }
/ r' q0 o% N. |. g9 Q    case DLL_THREAD_ATTACH: ' Q/ N) N+ B" M) E0 O6 j' Y
    case DLL_THREAD_DETACH: & u5 n; {0 U7 l
    case DLL_PROCESS_DETACH: ; h' m' k0 q: f
           if(bHook) UnintallHook();  , ]$ G) ^. N) ^
          break;
% h5 {% P. o  E6 t  }
$ \# O7 d7 p9 N) g5 J! m  return TRUE; * d3 ]7 \% r( O7 t2 @
}
% }& Q& g! k! O6 _  H4 ^LRESULT WINAPI Hook(int nCode,WPARAM wParam,LPARAM lParam)//空的钩子函数
+ O, p) O+ y+ k, B{
' v  @% D5 P/ ]) n   # B$ \2 n+ I/ ], p" `
  return(CallNextHookEx(g_hHook,nCode,wParam,lParam));
2 K# I0 d# N: @0 j/ F2 D}
1 m1 M6 }  N" }3 b  C  M$ @( _HOOKAPI2_API BOOL InstallHook()//输出安装空的钩子函数 : b4 ?) g0 f. r% F
{  + ^- w% E/ ~/ I% ]$ g1 K/ U
  g_hinstDll=LoadLibrary("HookApi2.dll"); 8 t3 `+ T8 D  h6 f; J& [# J' l
  g_hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)Hook,g_hinstDll,0); 2 V. b! H4 K# R
if (!g_hHook)
  a! ?$ b2 G3 T! J- V{ ) T: s8 S  D$ E# z% c" H
    MessageBoxA(NULL,"SET ERROR","ERROR",MB_OK);
2 K( O: n; \9 ?& ?6 h    return(false);
) l8 _, p  D9 v7 R4 P# F  } ! e- c, @( E" ?9 H  s
  ) S" K1 h" v  y8 l8 {) I' |( s2 [/ U
      
# ^6 e# F' v$ P# n7 S' i  return(true);
; Z" n( M' U1 G" q5 c) |9 M} " S8 D# j7 ?6 ]; w
HOOKAPI2_API BOOL UninstallHook()//输出御在钩子函数
, |2 D: C- @4 S$ \# Y: ^{
% y6 b! Q  g" Y" j: a  l/ ~5 k  
' u" U6 c3 F0 D' k  return(UnhookWindowsHookEx(g_hHook)); ! m/ u' U2 V, W- k7 G/ l1 o: [
} $ N2 ^. H( n2 y5 c( t* |1 S/ `
BOOL init()//初始化得到MessageBoxA的地址,并生成Jmp XXX(MyMessageBoxA)的跳转指令
! \6 Q; r& a$ {7 f{
8 D) o; T3 T( q0 x* w5 T  hModule=LoadLibrary("user32.dll");
5 H" J0 i1 w8 `& L0 A0 U  pfMessageBoxA=GetProcAddress(hModule,"MessageBoxA");
$ g$ {2 \' r. }) G% }/ R; V  if(pfMessageBoxA==NULL) % q* b3 h( `) N3 M8 B  J3 m: a
   return false; ' @# ~9 U# h6 Z8 y5 C1 _7 N% |
  _asm
% X& Y1 _* f) b9 o  X# Y+ Q  { 1 D" m  _0 t8 F: z! O0 `# |1 W
    lea edi,OldMessageBoxACode # @: q. B" W' `* `) y
    mov esi,pfMessageBoxA 3 ^/ [1 T" Z; a2 R+ d# ?& E1 i
    cld
$ I/ }" f- y, v% u7 j/ q6 B" N    movsd - L. Z/ e5 i1 |
    movsb
8 Y4 ?- M. b' v! P% N6 G  }
2 y: {2 `0 L$ `) }; W4 A7 _- K  NewMessageBoxACode[0]=0xe9;//jmp MyMessageBoxA的相对地址的指令 3 ~6 c: J  e& _8 J3 d
  _asm
3 _* p3 P) N, ], {3 k  { ) N7 o# p6 i0 i$ X- v4 \! \: i7 `/ `
    lea eax,MyMessageBoxA , k  b6 m5 {5 C( j4 G
    mov ebx,pfMessageBoxA 3 o# T: h/ N; N& x. V, i! A
    sub eax,ebx
: t3 k2 F) l( {1 O2 `5 X- i* `/ [    sub eax,5
, D, Q6 L6 G- F9 G% M/ v    mov dword ptr [NewMessageBoxACode+1],eax
; B- P2 t" ~6 s# E8 c+ d  }
7 N) R) Z# a- H6 m  dwIdNew=GetCurrentProcessId(); //得到所属进程的ID 2 E- d, J' T: x  ^
  dwIdOld=dwIdNew;
. b5 _% F8 M: O1 b  m, h; V0 e  HookOn();//开始拦截 ) K* _' k9 X& O: b. v; i
  return(true);
! B1 p' S" |# w1 h}
; a( ]- O: q) |' [int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption, UINT uType )//首先关闭拦截,然后才能调用被拦截的Api 函数 ' C3 C- P9 }2 S
{  ( H0 X% ^- P& [8 K
  int nReturn=0;
5 Q2 b# Z. Q$ J4 ~  HookOff();
1 O4 n, m( E# W! q: s! t/ X4 |  nReturn=MessageBoxA(hWnd,"Hook",lpCaption,uType);
) ]* Q5 X* U+ ~. W: _# s6 Q  HookOn(); , }  o, a6 h3 ^" j
  return(nReturn); * d8 @! L) q/ ]
} 1 G/ r4 }7 |+ P( p& k& L4 b9 Y
void HookOn() # T9 X9 s6 T$ d6 g. R
{ 2 p+ y0 T7 S5 F! `; y; w
  HANDLE hProc;
+ J2 v7 O9 C0 e. ~  dwIdOld=dwIdNew;
& f) P! L2 A  L# O6 I' G0 V5 _  hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);//得到所属进程的句柄
! Y) a1 _  e4 V2 i- [9 s9 |1 z  VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为可写
3 l$ I+ o4 n" h7 t  Q. o9 T  WriteProcessMemory(hProc,pfMessageBoxA,NewMessageBoxACode,5,0);//将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA 6 H0 F$ f- ^' D& a; J+ E" @
  VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为原来的属性 , p, f  }2 B9 ?; g% z# e
  bHook=true;
- |" p; A" y4 C% y6 _}
$ n% j" ~2 V$ _# F" U* Evoid HookOff()//将所属进程中JMP MyMessageBoxA的代码改为Jmp MessageBoxA
1 E, K/ H1 Q  e* L5 V6 }7 w{
# ?9 ?' {& z( A9 H% @$ h  HANDLE hProc; 6 }' K4 H/ M; O2 s/ v/ C/ @, o% S3 r
  dwIdOld=dwIdNew;
& I- z( n8 l8 |, s. Q4 J  hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);
' ^# t" b* W/ L6 A+ s/ w8 z1 c  VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);
$ a; S* h8 _8 k7 ~  WriteProcessMemory(hProc,pfMessageBoxA,OldMessageBoxACode,5,0);
9 \) c  i: V$ |) i; }$ t) u# q+ t  VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);
: v/ k) o  }, ~7 H) p4 w  bHook=false; + w" ?  }" {; L7 X2 u
} ! ~$ l9 O$ m. d" L. R; `4 |
//测试文件:
. A8 \( i, ]( O& T* iint APIENTRY WinMain(HINSTANCE hInstance, # _5 ~" X9 ]' z% A1 }( ?: E  j( d
           HINSTANCE hPrevInstance, , ]7 s! e& ?% @! D8 `7 X
           LPSTR   lpCmdLine,
% L+ G! L8 I: Y- |  N! Y           int    nCmdShow)
. @! Z" E! U' y+ H) E{
' ^! j& @- v+ O: H+ ?/ t7 @! |0 q( @   
' o/ P; z3 {' D  if(!InstallHook())
4 b4 J2 C# C' _4 o1 h  {
" ^! v4 ]( ], V- i9 C0 n  N6 p. O0 O- d    MessageBoxA(NULL,"Hook Error!","Hook",MB_OK);   I& d" _- [7 l$ b( [* u5 n! ]" s* |1 g
    return 1; 4 Q6 v- r0 k4 U# V% |
  }
4 l- ]; {* Z! R8 _: g7 z   MessageBoxA(NULL,"TEST","TEST",MB_OK);//可以看见Test变成了Hook,也可以在其他进程中看见 ! `1 b6 {3 |9 H1 r7 [
  if(!UninstallHook())   F* J$ g% U3 j1 g0 F) v! M1 p2 h
  {
& A  k) ]& b# n# I: y    MessageBoxA(NULL,"Uninstall Error!","Hook",MB_OK); : B7 h" \9 }+ V
    return 1; 9 G2 [$ S) e. Y- c! w6 }
  } 0 ~) u, r" X  d, c. p7 ~2 `
  return 0;
9 C8 f/ B" w* {8 ^) i+ N% I} & e# Q4 N/ A+ {  u# M9 [' b4 ?9 t
[此贴子已经被作者于2004-11-5 18:12:27编辑过]

$ `; P/ l5 Y8 |! z! X' ]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩 转发到微博

该用户从未签到

3
 楼主| 发表于 2004-11-19 00:36:00 | 只看该作者
大家转来转去就这么一片。大概……

该用户从未签到

2
发表于 2004-11-19 00:12:00 | 只看该作者

好眼熟……

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表