[资料库]Win2K下的Api函数的拦截

游侠无极限

7 `! {  q; n% V6 o4 G9 w发表日期：2003-10-30作者：tomh[] 出处：
Api拦截并不是一个新的技术，很多商业软件都采用这种技术。对windows的Api函数的拦截，不外乎两种方法，第一种是Mr. Jeffrey Richter 的修改exe文件的模块输入节，种方法，很安全，但很复杂，而且有些exe文件，没有Dll的输入符号的列表，有可能出现拦截不到的情况。第二种方法就是常用的JMP XXX的方法，虽然很古老，却很简单实用。
  本文一介绍第二种方法在Win2k下的使用。第二种方法，Win98/me 下因为进入Ring0级的方法很多，有LDT,IDT,Vxd等方法，很容易在内存中动态修改代码，但在Win2k下，这些方法都不能用，写WDM太过复杂，表面上看来很难实现，
2 G9 A6 h" U% k$ T其实不然。Win2k为我们提供了一个强大的内存Api操作函数---VirtualProtectEx，WriteProcessMemeory,ReadProcessMemeory，有了它们我们就能在内存中动态修改代码了，其原型为：
3 f5 [; }4 Q+ d7 P     BOOL VirtualProtectEx(
! O9 A1 |! X6 T% |6 u                HANDLE hProcess,   // 要修改内存的进程句柄
                LPVOID lpAddress,  // 要修改内存的起始地址
! X0 t2 `7 n! t7 ]& t+ m; R                DWORD dwSize,    // 修改内存的字节
                DWORD flNewProtect, // 修改后的内存属性
0 ^" U; r% U! {: y' N                PDWORD lpflOldProtect // 修改前的内存属性的地址
                );
    BOOL WriteProcessMemory(
6 {5 w3 H. o( I  D  T+ U1 B  X3 |                HANDLE hProcess, // 要写进程的句柄
                LPVOID lpBaseAddress, // 写内存的起始地址
9 Y5 p8 E! _3 h                LPVOID lpBuffer, // 写入数据的地址
                DWORD nSize,   // 要写的字节数
0 j6 E" U4 U% A# j1 K# {0 q% @, S                LPDWORD lpNumberOfBytesWritten // 实际写入的子节数
- a- w: `1 u+ h  C% c! b4 q4 |                );
! V, l9 z% k' _) Z! L    BOOL ReadProcessMemory(
                HANDLE hProcess, // 要读进程的句柄
- b* L1 k8 j4 i* S% _4 C" U                LPCVOID lpBaseAddress,  // 读内存的起始地址
                LPVOID lpBuffer, // 读入数据的地址
* \) N) `6 K3 ^; P% E/ g                DWORD nSize,   // 要读入的字节数
                LPDWORD lpNumberOfBytesRead  // 实际读入的子节数
                );
具体的参数请参看MSDN帮助。在Win2k下因为Dll和所属进程在同一地址空间，这点又和Win9x/me存在所有进程存在共享的地址空间不同，
因此，必须通过钩子函数和远程注入进程的方法，现以一个简单采用钩子函数对MessageBoxA进行拦截例子来说明：
其中Dll文件为：
# {- `  o% o2 W% y( c" n! l     HHOOK g_hHook;
) H; N' q0 r" B# k7 t     HINSTANCE g_hinstDll;
3 k4 ?9 v5 R! ]3 s/ V  f     FARPROC pfMessageBoxA;
' B3 Y# y/ L: g# {! f5 E     int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType);
* O/ ]$ N- g. {8 Y+ o. C/ J9 s/ T     BYTE OldMessageBoxACode[5],NewMessageBoxACode[5];
     HMODULE hModule ;
7 j) f" w( n& b     DWORD dwIdOld,dwIdNew;
     BOOL bHook=false;
' y% j1 e4 G8 ]' p/ N$ v# x7 ^     void HookOn();
     void HookOff();
' ~* h0 l$ a5 Z+ |     BOOL init();
LRESULT WINAPI MousHook(int nCode,WPARAM wParam,LPARAM lParam);
% A! V+ ?0 B/ h- }' y3 ABOOL APIENTRY DllMain( HANDLE hModule,
6 B+ l8 V! `/ [' C            DWORD ul_reason_for_call,
            LPVOID lpReserved
9 v$ S* m% U2 B1 L. w( F           )
2 f2 N+ L2 Y. H/ p. |' B8 u( Q{
  switch (ul_reason_for_call)
7 g" Z! ]" v8 y7 X2 G# D3 J: H  {
    case DLL_PROCESS_ATTACH:
% M' K# `' _4 |* I/ \9 Y      if(!init())
9 w. t- v- S  u      {
9 a" \- R" F9 k5 m             MessageBoxA(NULL,"Init","ERROR",MB_OK);
             return(false);
0 l) ^* I) S+ \! g3 h9 k; h      }
    case DLL_THREAD_ATTACH:
; T* y7 g6 P& S5 M+ R4 s- g1 U    case DLL_THREAD_DETACH:
! [  I; F4 B3 x; H# \) g    case DLL_PROCESS_DETACH:
           if(bHook) UnintallHook();  
. F+ G" q4 `* _          break;
  }
  return TRUE;
0 r% ?& K, B9 m/ h/ X! Q6 P}
LRESULT WINAPI Hook(int nCode,WPARAM wParam,LPARAM lParam)//空的钩子函数
1 ~8 X0 k) C2 Z2 J{
   
+ L  u" |* S2 j# N& d& |7 c' T4 [  return(CallNextHookEx(g_hHook,nCode,wParam,lParam));
}
3 r& s3 ]+ r  E8 MHOOKAPI2_API BOOL InstallHook()//输出安装空的钩子函数
{  
  g_hinstDll=LoadLibrary("HookApi2.dll");
  g_hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)Hook,g_hinstDll,0);
if (!g_hHook)
{
    MessageBoxA(NULL,"SET ERROR","ERROR",MB_OK);
8 C) ^4 ]3 k! m- T% G( Q    return(false);
  }
) M. d+ `0 s: z% f0 @$ z& t# \  
, e: z" Z' \7 \7 e$ S      
  return(true);
0 I7 b( U, D6 v  r}
% u7 l8 J; U- `/ M( fHOOKAPI2_API BOOL UninstallHook()//输出御在钩子函数
7 a7 \$ s8 @" c) \! |6 I/ q{
  
  return(UnhookWindowsHookEx(g_hHook));
3 V' H7 O: m& Z2 r& m0 t' d}
BOOL init()//初始化得到MessageBoxA的地址，并生成Jmp XXX(MyMessageBoxA)的跳转指令
{
1 U% K3 P5 ~% e/ h6 [  hModule=LoadLibrary("user32.dll");
  pfMessageBoxA=GetProcAddress(hModule,"MessageBoxA");
2 d3 w; C7 W+ J: M( f  if(pfMessageBoxA==NULL)
( |, [: O# K. ^* r7 X   return false;
  _asm
  {
    lea edi,OldMessageBoxACode
# b" ?, X( C% ^6 a' ?' f# s+ i    mov esi,pfMessageBoxA
    cld
: E' a) N. l2 Z- j& w    movsd
    movsb
  }
  NewMessageBoxACode[0]=0xe9;//jmp MyMessageBoxA的相对地址的指令
- q0 F" I9 f" E  _asm
+ N, V! m, S- `; S: \3 S. c  {
2 V. Z" G- e# J! [) v    lea eax,MyMessageBoxA
+ `8 M9 m) T: b9 v" c; V. y% h9 X    mov ebx,pfMessageBoxA
* Y9 z0 ^: \3 D2 w+ Y$ J7 }' E    sub eax,ebx
: ~/ m& h* a+ ]* S: a    sub eax,5
    mov dword ptr [NewMessageBoxACode+1],eax
  }
2 z7 C. j+ u. X5 o9 E  dwIdNew=GetCurrentProcessId(); //得到所属进程的ID
  dwIdOld=dwIdNew;
  HookOn();//开始拦截
  return(true);
}
int WINAPI MyMessageBoxA(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption, UINT uType )//首先关闭拦截，然后才能调用被拦截的Api 函数
( _$ q- X6 I' v{  
  int nReturn=0;
  HookOff();
  nReturn=MessageBoxA(hWnd,"Hook",lpCaption,uType);
  HookOn();
9 m: o8 u5 s2 ~+ \1 X  return(nReturn);
}
void HookOn()
{
) D: _: s1 ~) H, S  HANDLE hProc;
  dwIdOld=dwIdNew;
: Z" S2 H9 h4 t" @5 @) w+ w. ]- v( a  hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);//得到所属进程的句柄
9 ]- R" X' c- t, D5 p  VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为可写
+ D  ?6 l5 C! ]# a& `9 L; W; Z& O  WriteProcessMemory(hProc,pfMessageBoxA,NewMessageBoxACode,5,0);//将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA
" D/ I) Q3 v% X! t( a+ Z+ @% U  VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);//修改所属进程中MessageBoxA的前5个字节的属性为原来的属性
" ]' a. C, L+ G( c* |  bHook=true;
}
void HookOff()//将所属进程中JMP MyMessageBoxA的代码改为Jmp MessageBoxA
{
  HANDLE hProc;
  dwIdOld=dwIdNew;
: L2 |; K, a$ w3 B) M  hProc=OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld);
  VirtualProtectEx(hProc,pfMessageBoxA,5,PAGE_READWRITE,&dwIdOld);
  WriteProcessMemory(hProc,pfMessageBoxA,OldMessageBoxACode,5,0);
3 n- K1 M, V$ Q0 y- g  VirtualProtectEx(hProc,pfMessageBoxA,5,dwIdOld,&dwIdOld);
  bHook=false;
2 X4 t/ y! L" E}
; M( x% |% k3 b5 J//测试文件：
int APIENTRY WinMain(HINSTANCE hInstance,
# I: X/ c( K2 [& B2 x8 U0 k# p           HINSTANCE hPrevInstance,
" |8 ]1 b* Z8 n4 k$ ^: w  y' K           LPSTR   lpCmdLine,
6 r/ G" i6 O0 a$ [; |9 N; T( G/ M" f           int    nCmdShow)
{
! z) R3 G  \- ]" Q   
  if(!InstallHook())
6 F# E- H) U$ W: I2 S  {
    MessageBoxA(NULL,"Hook Error!","Hook",MB_OK);
    return 1;
  }
   MessageBoxA(NULL,"TEST","TEST",MB_OK);//可以看见Test变成了Hook,也可以在其他进程中看见
  if(!UninstallHook())
* z+ L7 m: g( m; ~6 u: U: o6 F. d  E  {
    MessageBoxA(NULL,"Uninstall Error!","Hook",MB_OK);
    return 1;
  }
  return 0;
- r1 m' }5 ~+ b. O$ e}
8 y: w- t) G0 I; U

[此贴子已经被作者于2004-11-5 18:12:27编辑过]

Eagle

好眼熟……

游侠无极限

大家转来转去就这么一片。大概……