本文总共3496个字,阅读需12分钟,全文加载时间:2.461s,本站综合其他专栏收录该内容! 字体大小:

文章导读: hook技术应用广泛,如热补丁升级技术,API劫持,软件破解等,是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理,实现方法,同时送上demo实例。 一. HOOK技术的基本原理 HOOK的基本原理 Hook技……各位看官请向下阅读:

hook技术应用广泛,如热补丁升级技术,API劫持,软件破解等,是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理,实现方法,同时送上demo实例。

一. HOOK技术的基本原理

HOOK的基本原理

Hook技术的原理的:就是修改程序的运行时PC指针,让程序跳到我们指定的代码中运行,运行完我们的程序,程序PC指针又回到原来程序的下一条指令。简而言之:就篡改程序的运行路径,来执行我们的程序。

二.Hook技术的实现

1)需求分析

Hook的基本流程

原来的程序中的test.exe调用myprintf,现在我们要实现不编译源代码test.exe和test_dll源代码的前提下(你懂的,破解软件都是拿不到源代码的)让test.exe去调用MyPrintf_new。

其中:

test_dll的实现:

int MyPintf(int d){     printf("hello,this is test ,test value is %d\n", d);      return d+1;}

test.exe的实现:

int _tmain(int argc, _TCHAR* argv[]){    int d = 0;    d = MyPintf(2);    printf("d %d\n", d);    getchar();    return 0;}

我们目标要实现main函数调用MyPintf_new

int  MyPintf_new(int d){    printf("hello,this is my hook test ,test value is %d\n", d);    return d+10;}

其中MyPintf_new我们在hook_dll中实现。

2)关键代码的实现

在hook_dll加载时篡改MyPintf的跳转指令。

其中

GetApiEntrance()备份原来的跳转指令,构造新函数的跳转指令。

HookOn()用于改写进程空间中目标函数的跳转指令

HookOff()用于还原进程空间中目标函数的跳转指令

void GetApiEntrance(){    //获取原API入口地址    HMODULE hmod = ::GetModuleHandle(L"test_dll.dll");    OldFun = (fun)::GetProcAddress(hmod, "MyPintf");    pfOldFun = (FARPROC)OldFun;    if (pfOldFun == NULL)    {        printf("获取原API入口地址出错");        return;    }//    OldFun(88);#ifndef WIN64    // 将原API的入口前5个字节代码保存到OldCode[]    _asm    {           lea edi, OldCode     //获取OldCode数组的地址,放到edi            mov esi, pfOldFun //获取原API入口地址,放到esi            cld   //方向标志位,为以下两条指令做准备            movsd //复制原API入口前4个字节到OldCode数组            movsb //复制原API入口第5个字节到OldCode数组    }    NewCode[0] = 0xe9;//实际上0xe9就相当于jmp指令    //获取MyPintf_new的相对地址,为Jmp做准备    //int nAddr= UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);    //Jmp nAddr;    //(我们定制的这条指令的大小), 这里是5,5个字节嘛    //BYTE NewCode[5];    _asm    {            lea eax, MyPintf_new //获取我们的MyPintf_new函数地址            mov ebx, pfOldFun  //原系统API函数地址            sub eax, ebx             //int nAddr= UserFunAddr – SysFunAddr            sub eax, 5           //nAddr=nAddr-5            mov dword ptr[NewCode + 1], eax //将算出的地址nAddr保存到NewCode后面4个字节            //注:一个函数地址占4个字节    }#else//    JMP_X64(OldCode, pfOldFun, NewCode);#endif    //填充完毕,现在NewCode[]里的指令相当于Jmp MyPintf_new    //既然已经获取到了Jmp MyMessageBoxW    //现在该是将Jmp MyMessageBoxW写入原API入口前5个字节的时候了    //知道为什么是5个字节吗?    //Jmp指令相当于0xe9,占一个字节的内存空间    //MyMessageBoxW是一个地址,其实是一个整数,占4个字节的内存空间    //int n=0x123;   n占4个字节和MyPintf_new占4个字节是一样的    //1+4=5,知道为什么是5个字节了吧    HookOn();}//开启钩子的函数void HookOn(){#ifdef WIN64//to do it #else    DWORD dwPid = ::GetCurrentProcessId();    //printf("pid %d\n", dwPid);    hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);    assert(hProcess != NULL);    //printf("HookOn now,hProcess %d\n", hProcess);    DWORD dwTemp = 0;    DWORD dwOldProtect;    //修改API函数入口前5个字节为jmp xxxxxx    VirtualProtectEx(hProcess, pfOldFun, 5, PAGE_READWRITE, &dwOldProtect);    WriteProcessMemory(hProcess, pfOldFun, NewCode, 5, 0);    VirtualProtectEx(hProcess, pfOldFun, 5, dwOldProtect, &dwTemp);#endif    printf("HookOn end\n");}//关闭钩子的函数void HookOff(){#ifdef WIN64//to do it#else    assert(hProcess != NULL);    DWORD dwTemp = 0;    DWORD dwOldProtect;    //恢复API函数入口前5个字节    VirtualProtectEx(hProcess, pfOldFun, 5, PAGE_READWRITE, &dwOldProtect);    WriteProcessMemory(hProcess, pfOldFun, OldCode, 5, 0);    VirtualProtectEx(hProcess, pfOldFun, 5, dwOldProtect, &dwTemp);#endif}4)使用工具将hook_dll.dll打进test.exe导入表,让test.exe拉起hook_dll.dll。这样test.exe启动时就能加载hook_dll.dll,同时调用GetApiEntrance完成hook的初始化。

三 结果演示

原始的test.exe 演示效果

Hook之后的test.exe演示效果

对于64位hook,由于64位系统的指令系统,寄存器空间也不一样。需要研究一下X64的指令系统以及寄存器使用。基本思路是一样的,唯独就是JMP那条指令实现不一样,敬请期待。

更多更详细信息请关注公众号:AV_Chat

以上内容由优质教程资源合作伙伴 “鲸鱼办公” 整理编辑,如果对您有帮助欢迎转发分享!

你可能对这些文章感兴趣:

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注