-
-
[原创]Ring3层Native API hook 的实现
-
发表于:
2010-7-12 00:22
14531
-
[原创]Ring3层Native API hook 的实现
系统:Windows Xp sp3
工具:OD, vs 2008
前几天看到这篇帖子http://bbs.pediy.com/showthread.php?p=833045#post833045让我想来试着hook 一下native api
毋庸置疑,API hook在各种类型项目中使用广泛,已经研究了长一段时间了。参考文献1可以说是APIhook的一个综述。其中主要讲了Ring3层的hook。Ring0层hook难度要大点,驱动程序的稳定性也不能保证,所以我现在还没有勇气去搞驱动层的hook。
关于ring0 api hook 可以参考文献2. 其中详细的讲解了怎样编写驱动程序进行API hook,包含源码。这里主要说Ntdll.dll中的Native API 的hook。Ntdll.dll中函数在window Xp系统中形如:
7C92DF7E > B8 12010000 mov eax,112 ; ZwWriteFile
7C92DF83 BA 0003FE7F mov edx,7FFE0300
7C92DF88 FF12 call dword ptr ds:[edx] ; ntdll.KiFastSystemCall
7C92DF8A C2 2400 retn 24
在windows 2000中有所不同.
hook的基本思路是:修改函数入口处的第5——12字节,既是把
7C92DF83 BA 0003FE7F mov edx,7FFE0300
7C92DF88 FF12 call dword ptr ds:[edx] ; ntdll.KiFastSystemCall
修改成:
mov edx,[自定义的hook函数地址]
call edx
修改后的代码如下:
7C92DF7E > B8 12010000 mov eax,112 ; ZwWriteFile
7C92DF83 BA 0003FE7F mov edx,xxxxxxxx ;xxxxx是hook函数的地址,定义在你的dll中
7C92DF88 FF12 call edx ;call到你的hook函数中
7C92DF8A C2 2400 retn 24
这个通过打内存补丁来实现,参考文献3。代码如下:
//这是该的看雪的源码
BOOL MemPatch(HANDLE hProcess,const DWORD PatchAddr,const DWORD PatchSize,const BYTE signData[],const BYTE NewData[])
{
BYTE ReadBuffer[128]={0};
BOOL bConntiuneRun=TRUE;
DWORD Oldpp;
int cnt = 0;
while (bConntiuneRun)
{
cnt++;
/* ResumeThread(pi.hThread);
Sleep(1000);
SuspendThread(pi.hThread);*/
ReadProcessMemory(hProcess,(LPVOID)PatchAddr,&ReadBuffer,2,NULL);//读2个字节来比较
if (!memcmp(signData,ReadBuffer,2))
{
VirtualProtectEx(hProcess,(LPVOID)PatchAddr,PatchSize,PAGE_EXECUTE_READWRITE,&Oldpp);
WriteProcessMemory(hProcess,(LPVOID)PatchAddr,NewData,PatchSize,0);
bConntiuneRun = FALSE;
}
else if(cnt>5)
break;
}
//ResumeThread(pi.hThread);
//CloseHandle(pi.hProcess);pi.hProcess=0;
//CloseHandle(pi.hThread);pi.hThread=0;
if(cnt>5)
return FALSE;
else
return TRUE;
}
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)