【转帖】Windows Hook (3) API Hook 初探

上一篇 / 下一篇  2010-01-20 12:04:59 / 个人分类:C++

查看( 528 ) / 评论( 0 ) / 评分( 0 / 0 )
 
51Testing软件测试网Mr5f.y#Xo-a!z}#w

.....

y"["L-w)w?051Testing软件测试网 U4O&{"lV_8X/?

上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新.

-motQ8N;K051Testing软件测试网0B9q"rhz|

这一期我们来谈谈 API HOOK51Testing软件测试网cf)]r.i

51Testing软件测试网+AU&w*M%x2C IEkL

    API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外

AmGP{2r0

vZ1xE~9Q f8M4M0挂,internet通信等领域API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例

h1Y {Z~ {/d0

!y@GiztPy*aJc0如我们用API Hook技术挂接ExitWindowsEx API函数,使关机失效,挂接ZwOpenProcess函51Testing软件测试网m6L:~({rw3O.@

U/w Ba-y5n%v0数,隐藏进程等等......51Testing软件测试网F(qIFSk gGBf

Hz K&C^I~2nDM'@0  
t6R:Y(a+^*z ] \0   总的来说,常用的挂钩API方法有以下两种:51Testing软件测试网2X5zShFy G

IHI'A+EiB0<一>改写IAT导入表法51Testing软件测试网bS)V [&}
   51Testing软件测试网R.B;`2[7`9mf*f
    我们知道,Windows下的可执行文档的文件格式是一种叫PE(“portable executable”,可移植

B{2yjlbc0

:rmzba5CpXjU#f0的可执行文件)的文件格式,这种文件格式

XR.p&HY0

X@ e^[%? S%u0是由微软设计的,接下来这张图描述了PE文件的结构:

)Cr E$}#T051Testing软件测试网7hV%[&BJ"b

      +-------------------------------+      - offset 0
hW/KR L m2h^+B0      | MS DOS标志("MZ") 和 DOS块      |
k MOenW0      +-------------------------------+     51Testing软件测试网Jd'l1Xcg+D1B
      |       PE 标志 ("PE")            |51Testing软件测试网O\)ZC^
      +-------------------------------+51Testing软件测试网\,d`h.Ts-Z"\M:E
      |              .text              |      - 模块代码
R(v]D%w \#p0      |            程序代码             |51Testing软件测试网j3ZL)S e!P7M4L w^
      |                                |
5D lI2wN6c&J K A0      +-------------------------------+
s9A}d]1H2s0      |              .data              |      - 已初始化的(全局静态)数据
$s7hN"FwjY1^0      |           已初始化的数据        |
sZXSD%v^!P0      |                                |
B^G4?2jy1`0      +-------------------------------+
%ni'? B$g-s t0      |             .idata              |      - 导入函数的信息和数据
Msz6o3t8Y} }C0      |             导入表              |       51Testing软件测试网#|&J@#zZ j(mT H
      |                                |51Testing软件测试网P G I^I
      +-------------------------------+
%~ e H%\|&x9Z [.?7P0      |             .edata              |      - 导出函数的信息和数据
c:|4ft,x0      |             导出表              |       51Testing软件测试网2N-E(NOpn"v'Ay
      |                                |51Testing软件测试网-Uo4H?:w7k
      +-------------------------------+51Testing软件测试网2O|-~3y['L"Qy
      |            调试符号             |
c7f}d4J1}S r0      +-------------------------------+

L mTm~:Z4ZS3A0

2Ck [4i*P*s0    51Testing软件测试网1Y0E[ s3ey
51Testing软件测试网:I;["H*?2Ez4sY
    这里对我们比较重要的是.idata部分的导入地址表(IAT)。这个部分包含了导入的相关信息和导51Testing软件测试网'H;t!zvk*R!B

51Testing软件测试网-aigsC.j

入函数的地址。有一点很重要的是我们必须知道PE文件是如何创建的。当在编程语言里间接调用任

B d*q#bdzAV%}6Y0

+R f rh-HE5v8Y#R|(}b0意API(这意味着我们是用函数的名字来调用它,而不是用它的地址),编译器并不直接把调用连接到51Testing软件测试网p~ Ql p7n

TxO.T7v0模块,而是用jmp指令连接调用到IAT,IAT在系统把进程调入内存时时会由进程载入器填满。这就是51Testing软件测试网:}hN;d*JTu

51Testing软件测试网N3ZL8E@#x

我们可以在两个不同版本的Windows里使用相同的二进制代码的原因,虽然模块可能会加载到不同的

"rM+^7Boi051Testing软件测试网 Fj;z K-H4q

地址。进程载入器会在程序代码里调用所使用的IAT里填入直接跳转的jmp指令。所以我们能在IAT里51Testing软件测试网B1JlM1A

pLzD-e2}0找到我们想要挂钩的指定函数,我们就能很容易改变那里的jmp指令并重定向代码到我们的地址。完

g3LF(gR aO*\(ZV051Testing软件测试网1h5C5M;HF0T2m"F b:|

成之后每次调用都会执行我们的代码了。
B'^m#T2mdp0   
z)x]cil0    我们通过使用imagehlp.dll里的ImageDirectoryEntryToData来很容易地找到IAT。

i$^ Zk*AN!K051Testing软件测试网8Fr5fEZl(P(D

   .DLL命令 ImageDirectoryEntryToData, 整数型, "imagehlp", , , 返回IMAGE_IMPORT_DEscrīptOR数组的首地址
GQ y8}Z|0     .参数 Base, 整数型, , 模块句柄51Testing软件测试网8V \!R"z @J"m3[+wa
     .参数 MappedAsImage, 逻辑型, , 真
~"i2h,n)}:Mi(pu0     .参数 DirectoryEntry, 整数型, , 恒量:IMAGE_DIRECTORY_ENTRY_IMPORT,151Testing软件测试网0a/~G|I"n o_
     .参数 Size, 整数型, 传址, IMAGE_IMPORT_DEscrīptOR数组的大小51Testing软件测试网$H2B tY?S#Y(wE D ^

51Testing软件测试网:N(RQt|` K+d/Xlv+u


"q.j8?%j-ol0   .数据类型 IMAGE_IMPORT_DEscrīptOR, , 输入描述结构
*f/fp9E:l ptY0     .成员 OriginalFirstThunk, 整数型, , , 它是一个RVA(32位),指向一个以0结尾的、由IMAGE_THUNK_DATA(换长数据)的RVA构成的数           组,其每个IMAGE_THUNK_DATA(换长数据)元素都描述一个函数。此数组永不改变。51Testing软件测试网/`7?h e;[xFa
     .成员 TimeDateStamp, 整数型, , , 它是一个具有好几个目的的32位的时间日期戳.
`c1A1A"|w.Mpr0     .成员 ForwarderChain, 整数型, , , 它是输入函数列表中第一个中转的、32位的索引。51Testing软件测试网!l#S#j2T|Z
     .成员 Name, 整数型, , , 它是一个DLL文件的名称(0结尾的ASCII码字符串)的、32位的RVA。51Testing软件测试网\p];E+V.K8Jw"j
     .成员 FirstThunk, 整数型, , , 它也是一个RVA(32位),指向一个0结尾的、由IMAGE_THUNK_DATA(换长数据)的RVA构成的数组,其每           个IMAGE_THUNK_DATA(换长数据)元素都描述一个函数。此数组是输入地址表的一部分,并且可以改变。

u&w2e2L!cu7@yk4W2{.uL051Testing软件测试网D,P+qf7@;f

   51Testing软件测试网$GV'Sf"^]gz
    如果我们找到了就必须用VirtualProtectEx函数来改变内存页面的保护属性,然后就可以通过
Q {Jrma)`0WriteProcessMemory在内存中的这些部分写入代码了。在改写了地址之后我们要把保护属性改回来51Testing软件测试网"q8r;V)@0le$o
。在调用VirtualProtectEx之前我们还要先知道有关页面的信息,这通过VirtualQueryEx来实现。
4I f Ke3_i g)B0    
4Y4y xi;\c0    这种方法的好处是比较稳定,但有漏API的可能,因为并不是所有的API调用都是通过IAT的,可能易51Testing软件测试网 O d(O Rss I,OJx
程序就是这种情况,我当初也是想用这种方法,但是在易里面调试时总不能在IAT里得到正确的程序调51Testing软件测试网.^0?q/] v2f"g
用的API,常常是些无关的API(可能是易的核心支持库在做怪),不得不放弃.51Testing软件测试网5q$q:_%U`

\Q0~ix B;E ap0

KM;~u^h\2h0<二>直接改写API函数入口点.(改写内存地址JMP法)51Testing软件测试网#@)o"g-B/PN,h

j]uP2G8X+?*^0
C*ac~!Z}/~ E1g V0U0     改写函数入口点开始的一些字节这种方法相当简单,这也是本文采用的方法,就象改变IAT里的地址一样,我们也要先修改页面属性。51Testing软件测试网 R Po.{.AU8jGQ

51Testing软件测试网e9Wmya

.DLL命令 返回页面虚拟信息, 整数型, "kernel32", "VirtualQueryEx"51Testing软件测试网Ak!w-nj |r P\
     .参数 hProcess, 整数型, , 对象的进程句柄,可以使用函数 OpenProcess() 返回。51Testing软件测试网p.V EV6["dp|(|
     .参数 lpAddress, 整数型, , 对象指针地址51Testing软件测试网 Be'O6[g~)x&]
     .参数 lpBuffer, 虚拟信息, , 返回的虚拟信息
8c$C&c-Hs"N0     .参数 dwLength, 整数型, , 信息长度,已知 28

7C&K;F[6N0[#I"E051Testing软件测试网1OJWG \

51Testing软件测试网nk:R-Ko+x!Y2SOv
.DLL命令 修改页面虚拟保护, 逻辑型, "kernel32", "VirtualProtectEx"
*Spo5{,S'^R3hh,x0     .参数 hProcess, 整数型, , 对象的进程句柄,可以使用函数 OpenProcess() 返回。51Testing软件测试网(\Q"Lb0^.l4]6G
     .参数 lpAddress, 整数型, , 虚拟信息.BaseAddress51Testing软件测试网I6e` |3L1i0\ ~SK9z@
     .参数 dwSize, 整数型, , 修改虚拟保护的长度.51Testing软件测试网AQ0j|~{v
     .参数 flNewProtect, 整数型, , 修改类型,#PAGE_EXECUTE_READWRITE 64为可读写模式51Testing软件测试网6{[2Up,j4S4Z1v$U
     .参数 lpflOldProtect, 整数型, 传址, 虚拟信息.Protect51Testing软件测试网qCEUe%c dnw5d ` c!m

51Testing软件测试网;^4]Zy~7as,O B-h_

    通过调用VirtualQueryEx,VirtualProtectEx这两个API就可以修改我们要挂勾的API所在的页面属性为可读写模式,接着就可以调用API函数

E{G2b|2B:m&n$@0

#q}4y#R?8HS0WriteProcessMemory写内存字节了.51Testing软件测试网@+BG RJ&`H!g'z"`

51Testing软件测试网.H h,@.Fa$E~

    到这里,也就没有什么难点了,我们拿API函数ExitWindowsEx来简单说明下,如果要实现自定API函51Testing软件测试网zJz+E7~

#w5^6NA.om2M0数,可以写入一个跳转指令,JMP OX00000(其中OX00000为自定API函数地址),请参照论坛上的教程,也51Testing软件测试网4O4s.?(C0M[/K.c/~z

51Testing软件测试网 u%K%}A2p-[Ce,k

当作我留给大家的问题吧,呵呵.               51Testing软件测试网%q+_']`VBVW

51Testing软件测试网)q)V2K0M*ED

制作目标:挂勾ExitWindowsEx,使关机无效.

HI0L dq$E C*v(E.Cl7AD051Testing软件测试网Q'krnyJ

分析:只要求关机无效,即ExitWindowsEx无效就可以了,我们不必那么麻烦去写跳转指令,可以直接在
M O&O"xbM0      
;Gz2z(b q1dh9T'g0      ExitWindowsEx首地址写入一个垃圾指令,使它后面的代码无法执行就可以了,我们可以写入     
N/T)d"lA7a+S|UX.|F0      {104}→汇编 PUSH 或者 {195}→汇编 retn→返回命令(在易里面调用这个API会造成错误)这51Testing软件测试网&t J]+Ep$wLy9Q
     51Testing软件测试网e4y%nk n2Sa!w
      样就可以达到目地了.

9O1U+HgW\&\ b-x051Testing软件测试网v5ia:Cw2vs*M%e

看下面的代码:51Testing软件测试网Ck-H o` cR M

51Testing软件测试网T(|#B5h"K U i,p c

===================51Testing软件测试网}1~(dF(ib x.A#r&P8S

51Testing软件测试网5g_1]*[sL)[Eh

'通过API函数GetProcAddress和GetModuleHandleA很容易得到API函数ExitWindowsEx的首地址.51Testing软件测试网a3\9r#H']z

51Testing软件测试网~9@ hB1|\ @b

51Testing软件测试网2H C,yz6MF3a+Oo.D
API = GetProcAddress(GetModuleHandleA(“user32.dll”), “ExitWindowsEx”)51Testing软件测试网:i lo:rMX#o*@

{%b9C)}p1Q0vX0
o-G${H6?*KW9R7f(P0API_BAK = 指针到字节集 (API, 1)   '为了以后可以还原,我们先备份一下

8sM%zr fI051Testing软件测试网#^(A8a/SO#y2_ S

'用OpenProcess打开其他进程前先提升进程权限,这样可以打开几乎所有的非内核程序51Testing软件测试网S4qg D3v.B

a:iY)NO\#N9V!?M0提升进程权限 ()   '这个模块在附件里

y |7s+T0{XS)]c051Testing软件测试网W5YY;P]h} ?


(hq dbL,UL#sw R0==============================修改API首地址()=================

,V;mj+F@AP051Testing软件测试网!i#fI:r1h*]/e)E

.子程序 修改API首地址, 逻辑型
9Obd;E kLg0.参数 Process, 整数型, , 目标进程句柄
Emk&@C r0.参数 Papi, 整数型, , 要修改的API函数地址51Testing软件测试网)w[ ?0w-fArVPu9c
.参数 type, 字节集, , 要改写的内容,字节集51Testing软件测试网#onP8RwF eX~
.局部变量 mbi, 虚拟信息51Testing软件测试网#w{mRt _Q
.局部变量 结果, 逻辑型
0I}t1zPE0.局部变量 MyAPI, 整数型51Testing软件测试网G0S!W:P#n4V` xxI
.局部变量 Ptype, 字节集51Testing软件测试网AW*S?my(q(G9~4\

!V u t8w T(~0.如果真 (Papi = 0)
d/ZU3Ik,G d`0X(i G0     返回 (假)51Testing软件测试网c8h\l-A1`/N^4z-V
.如果真结束51Testing软件测试网"n-@+MF bmM
.如果真 (返回虚拟信息 (Process, Papi, mbi, 28) = 0)
,l1g(WD-F#N y0     返回 (假)
{jE"bJz |3Fv0.如果真结束
.lJ xC j ctc0.如果真 (修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) + 1, #PAGE_EXECUTE_READWRITE, mbi.Protect) = 假)51Testing软件测试网4gp4WT)SBnu1P u
     返回 (假)
D"i'\-O Q0dk0.如果真结束51Testing软件测试网*cb K3aHl m
结果 = 写内存字节 (Process, Papi, type, 取字节集长度 (type), 0)
H#j'\(r-oXh0修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) + 1, #PAGE_EXECUTE_READ, mbi.Protect)   ' 改回只读模式
'gl.C\+T-dv0返回 (结果)51Testing软件测试网"A+U+V2]'Cwg(v Mm

51Testing软件测试网DoD JN

51Testing软件测试网BCTfi
========================

f1|5L*G d'|!K)I D051Testing软件测试网7e K0cp[!\)C7c_"pqC

我们通过以下几个API就可以举出系统所有进程,得到它们的进程ID51Testing软件测试网`;T2SJ,KC

6I {j3p(y_y8x[{ ^J0*CreateToolhelp32Snapshot,创建进程快照51Testing软件测试网 kZ+J.a5d&l n

51Testing软件测试网/M!W'~7uG:xE$[

*Process32First,开始进程快照  51Testing软件测试网X+`/Q;L,Y

51Testing软件测试网o{`D4q.rWBL

*Process32Next, 继续进程快照

K&[y&Y*iayg2j@q051Testing软件测试网 A `,]2WI

看代码:51Testing软件测试网|F$Xk,w,D*\oP#A

51Testing软件测试网2YplJH:I^

=========================刷新进程信息==============51Testing软件测试网'~+y8D7{J8]+kW
.子程序 刷新进程信息51Testing软件测试网"[n#`eEq
.参数 进程信息输出, 进程信息输出, 数组
gK1]5aw7P'c3A G0.局部变量 临时变量, 整数型51Testing软件测试网(gIb%J!m9x{;Om
.局部变量 临时变量B, 整数型
aD(R#MZ|0.局部变量 线程基本优先级, 整数型, , "0"
p-^9XHch5k0.局部变量 临时进程信息, 进程信息输出51Testing软件测试网|-e|\3i

2O1m4]K ]7xCm Fy0临时变量 = 创建进程快照 (2, 0)51Testing软件测试网3@.K/jR])H
临时进程信息.结构大小 = 29651Testing软件测试网7]5Uc3DM;{C+b0J
临时变量B = 开始进程快照 (临时变量, 临时进程信息)
J]{ZC/]r8xG0.判断循环首 (临时变量B ≠ 0)
+~"UBd)Ga7Qm0     加入成员 (进程信息输出, 临时进程信息)
'zFjmoC&R0     临时变量B = 继续进程快照 (临时变量, 临时进程信息)
&l0Pb R[Aa3kg#P0.判断循环尾 ()
%Q5d$B-v:n9t#M}F0关闭内核对象 (临时变量)51Testing软件测试网.S:cm(T.H%Pj6E1wa

BA&h^mVp@j0============================HOOK_API()================================

7G P_p/nv051Testing软件测试网ab`;b)e:_|

.子程序 HOOK_API
3`h;R {ADa V0.参数 是否HOOK, 逻辑型, , 真,表示HOOK,假,表示还原
.X/gr){"{#G TE;U\w0.局部变量 i, 整数型

Q Qt Nw051Testing软件测试网$Fe6N/g,X KF1A

刷新进程信息 (进程信息)
8]5E9v/q,X}h2I.p0.计次循环首 (取数组成员数 (进程信息), i)
F5k:F5\t JH(eL0     进程句柄 = 打开进程 (2035711, 0, 进程信息 [i].进程标识)51Testing软件测试网8zz@a%Y { ~
     .如果 (是否HOOK)51Testing软件测试网:dz w)n+??
         修改API首地址 (进程句柄, API, { 195 })   ' 写入返回命令{195}51Testing软件测试网_)v0{c]A3n)I
     .否则51Testing软件测试网J GnR't!R'g
         修改API首地址 (进程句柄, API, API_BAK)
7E&@Q+Z0]*qR0     51Testing软件测试网_1S0UX9Sw.p$Z
      关闭内核对象 (进程句柄)
*z,v0SfG#GKF0.计次循环尾 ()

*S-`"@K*@}@"n051Testing软件测试网hZ{"Ju+N-J7\

=================================================================51Testing软件测试网s&P-tw@me)K

.^9b1J3~3c1u0最后我们通过调用HOOK_API(真)就可以挂勾ExitWindowsEx,51Testing软件测试网j,X+C U%B JU(BQ

51Testing软件测试网FG9tR1mv9GV4xU

调用HOOK_API (假)就可以还原ExitWindowsEx.

c.v#RG9O uIv5Z!eS0

!@m Z/a1jnr0继续看代码:

'@6w5bl4X oR*_0

fp7OXeKY0======================================51Testing软件测试网x2NxZ u(`9G$O r

51Testing软件测试网~f9Ht z3}qz

.子程序 _选择框_挂勾API_被单击51Testing软件测试网PtdY"|M*@

dc'zE H:m!~[0.如果 (选择框_挂勾API.标题 = “挂勾API”)
c `!RYy@x0     HOOK_API (真)
q0zaX*l)N?n(D0     选择框_挂勾API.标题 = “还原”
7vdZ%]:qj0     信息框 (“恭喜,挂勾ExitWindowsEx成功,你现在不能关闭系统了,不信你可以试试!”, 64, )51Testing软件测试网D y,BnI
.否则51Testing软件测试网lsk0ZI M
     HOOK_API (假)51Testing软件测试网5f }4^)V(wh ?
     选择框_挂勾API.标题 = “挂勾API”
"U6H8\^ s$]x0     信息框 (“提示:还原ExitWindowsEx成功,你现在可以关闭系统了!”, 48, “提示”)
:[w5K0s%_6h9D/w0     结束 ()

*c\p&T/`cl051Testing软件测试网m4w qQ(FK"c\)U/T

=======================================

s M2k[h0WlU#C051Testing软件测试网L6`3?;[ F

题外话:51Testing软件测试网-C;T#\4Sp

e,~{:O8~!Y0   有了这个程序,再结合API函数ShowWindow,控制网管软件窗口的可见性,就可以破解几乎所有网管

rb"z I5F)m bq051Testing软件测试网Uc!d/iZ\

软件的限制,不过,我不同意你用它拿来破解网管软件,我之所以这么说,只是想告诉大家一个道理:

iv/A*r2_+Ah.^6Y051Testing软件测试网"d+]Y/m X!zQ8|v:c,M:lT

思维不要只限制到一个很狭隘的空间中去......51Testing软件测试网 AVHb R u}#q }t

51Testing软件测试网[WQm(v!IL

==========================================51Testing软件测试网,}G9a6t$ji m`!X
总结:51Testing软件测试网"p:e D+Z/dx4{!P

51Testing软件测试网Te7@KDfb

   怎么样,是不是很简单啊,呵呵,通过本期的学习,我们的Windows Hook 易核心编程也就告一段落了

4ojM;G^m4mF6i051Testing软件测试网]~ mrW$VC9a DF ?

希望对你有所帮助,如果你想了解上期的内容,请在论坛里搜索我的名字.

*G vp A"y3zw~0h051Testing软件测试网 MM/SpB]

自由 平等 随意 突破......

$j)ZuU0O5K0

#xc$uhm+jKg0此文献给所有易的支持者

;L/_} vWB]`]1zB051Testing软件测试网GF!w2t"eD7g3^v2?

下次再见.

Holi-h-E{]+J0

收藏 举报

TAG:

 

评分:0

我来说两句

Open Toolbar