首页
社区
课程
招聘
[旧帖] [原创]API HOOK 0.00雪花
发表于: 2011-9-25 19:28 4381

[旧帖] [原创]API HOOK 0.00雪花

2011-9-25 19:28
4381

第一次写文章,希望各位大侠,牛人体谅,呵。
API HOOK 是个好古老的话题了,但作为一个不懂算入门没有的新手,也只能从这些基本的学起。HOOK API的作用主要是在原程序调用API是首先进入自己的处理过程,对调用结果进程一定处理后再按自己意愿返回。如比较经典的封包助手,就是HOOK了系统的SOCKET的recv函数,把包显示出来再调用返回给应用处理。

OK,下面我要HOOK的是EnumProcesses ,钩API有几种方式:

1.API实现函数内钩,起作用范围广,对进程内所有位置内包括远程注入线程调用均有效。但钩的位置要比较猥琐才行,一般的会选择头几字节来钩,但说实在的,做一个简单的内存校验就可以发现被钩了。一般是选择中间位置来钩,或钩更下层的API,如GetProcAddress这个,它会调用LdrGetProcedureAddress这个API,所以可以选择钩这个,但要注意处理堆栈。当然,原应用做内存检测的话,还是逃不过被检测的命运的。

2.可以在API调用位置上下钩,作用范围仅在于当前调用处有效,假如程序在另一地方有调用API则是钩不到的。严格来说这不算是钩API了,和一般的内联hook差不多。但在某些场合还是比较有用的。

3.可以修改IAT表,作用范围仅在当前模块,这种方式比较常用,当然要小心原程序调用GetProcAddress来检查:

if [IATBase] != GetProcAddress(APIName)

{

    cout<<" 你的钩子被发现了   你的计算机即在10s内发生'砰'......................";

}

下面说下HOOK  EnumProcesses过程,选用IAT HOOK,操作系统为win server03.先查MSDN,实现语言是Delphi。先看函数的原型:

BOOL WINAPI EnumProcesses(
  __out         DWORD* pProcessIds,
  __in          DWORD cb,
  __out         DWORD* pBytesReturned
);看解释可以知道,第一个参数是一个进程ID数组指针,即返回当前系统的所有进程的ID,第二个参数是这个数组的长度,注意它是按字节算的,这个参数一般可以用SizeOf(array)来传入,因为SizeOf获取的是数组的字节长度。第三个参数是返回的数据长度,也是按字节计算,即获取的进程个数实际上是(pBytesReturned*)/SizeOf(DWORD);好了,下面再看看实际调用的汇编代码:

压栈顺序是从右至左,然后跟进这个CALL:

这个就是它的输入表的位置了,看看它的基址是:0x00B2C700 .这个地址下面的值就是EnumProcesses的真正地址了:

为什么要有IAT表呢?因为DLL载入内存需要重定位的,会把真正的API地址放入这个基址下面。嗯,接下来的工作就简单了,我们把0x00B2C700这个地址下一值改成我们自己的处理函数就行了。我们要先写一个函数过程,注意参数要和原API一致。至于类型,一般来说WIN下的API都是指针操作,所以一般用DWORD就可以了,你自己的函数内使用时要记住它是指针就行。先复制代码:
/// <summary>
/// EnumProcesses的过滤处理过程
/// 可以修改输出的结果
/// </summary>
/// <param name="pProcessIds">输出参数:进程ID数组指针</param>
/// <param name="cb">进程ID数组的初始化长度,以byte为单位</param>
/// <param name="pBytesReturned">输出参数:返回的数据大小,以byte为单位</param>
/// <param name="res">原API的处理结果,也压入,通过这个过程返回给原应用调用者</param>
/// <returns></returns>
function MYEnumProcessesFilter(pProcessIds: DWORD; cb: DWORD; pBytesReturned: DWORD; res: DWORD): DWORD; stdcall;
begin   
        Result:=res;       
end;

/// <summary>
/// 自己的EnumProcesses处理过程
/// </summary>
/// <param name="pProcessIds">输出参数:进程ID数组指针</param>
/// <param name="cb">进程ID数组的初始化长度,以byte为单位</param>
/// <param name="pBytesReturned">输出参数:返回的数据大小,以byte为单位</param>
/// <returns></returns>
function MyEnumProcesses(pProcessIds: DWORD; cb: DWORD; pBytesReturned: DWORD): Integer; stdcall;
asm
    push pBytesReturned
    push cb
    push pProcessIds
    mov eax,EnumProcesseApiAddr
    call eax
    push eax
    push pBytesReturned
    push cb
    push pProcessIds
    call MYEnumProcessesFilter
end;

/// <summary>
/// HOOK EnumProcesses
/// </summary>
procedure BeginHookEnumProcesses; stdcall;
var
  dwAddr: DWORD;
  oldProtect: DWORD;
begin
  VirtualProtect(Pointer(EnumProcessIATBase), SizeOf(DWORD), PAGE_EXECUTE_READWRITE, oldProtect);
  dwAddr := DWORD(@MyEnumProcesses);
  asm
     push ecx
     push eax
     mov ecx,EnumProcessIATBase//将EnumProcesses的输入表基址读入
     mov eax, dword ptr ds:[ecx]
     mov EnumProcesseApiAddr,eax//将原EnumProcesses的地址保存
     mov eax,dwAddr   //将新地址读入
     mov dword ptr ds:[ecx],eax//修改IAT 的值
     pop eax
     pop ecx
  end;
  VirtualProtect(Pointer(EnumProcessIATBase), SizeOf(DWORD), PAGE_EXECUTE_READ, oldProtect);
end;

/// <summary>
/// 恢复EnumProcesses的调用
/// </summary>
procedure EndHookHookEnumProcesses; stdcall;
var
  dwAddr: DWORD;
  oldProtect: DWORD;
begin
  VirtualProtect(Pointer(EnumProcessIATBase), SizeOf(DWORD), PAGE_EXECUTE_READWRITE, oldProtect);
  asm
     push ecx
     push eax
     mov ecx,EnumProcessIATBase//将EnumProcesses的输入表基址读入
     mov eax,EnumProcesseApiAddr   //将原地址读入
     mov dword ptr ds:[ecx],eax//修改IAT 的值  恢复为原API的调用
     pop eax
     pop ecx
  end;
  VirtualProtect(Pointer(EnumProcessIATBase), SizeOf(DWORD), PAGE_EXECUTE_READ, oldProtect);
end;

其实上述代码很简单,先看BeginHookEnumProcesses这个开始HOOK的函数调用。先执行VirtualProtect,这个API是修改某块内存的属性,如可读可写,要注意它的第三个参数,以前是用PAGE_READ、PAGE_READWRITE,但现在多核了要用PAGE_EXECUTE_READ,PAGE_EXECUTE_READWRITE。即先把把IAT表的基址所指向的内存块置为可写,EnumProcessIATBase就是上述汇编代码中的基址0x00B2C700(当然这基址每次编译EXE都会变).下面的代码就是把自己的MyEnumProcesses地址写入这基址,再恢复内存属性即可。同理EndHookHookEnumProcesses是把原API地址重新写入这个IAT基址下面。再看看那两个处理过程,其实我分两个是为了更分明些,MyEnumProcesses仅是先调用原API,然后把调用结果做参数,再压入MYEnumProcessesFilter来处理进程的过滤。所以MYEnumProcessesFilter需要额外一个参数res把原API调用的返回值也压入,然后在MYEnumProcessesFilter把这个返回值返回给用户。
       再说下HOOK IAT时简单的防检测,一些应用会调用GetProcAddress来获取API地址,然后把这个地址和输入表基址如0x00B2C700下的地址做比较,就可以知道是否被HOOK了。所以应把GetProcAddress也钩上,在它获取EnumProcesses的地址时,把自己 的MyEnumProcesses地址返回给它。不过要注意钩GetProcAddress的处理效率和HOOK的方法哦,因为那肯定是一个线程不停的调用的,假如你内部处理慢了,嘿嘿,等着程序挂掉吧。
      感慨:这个简单的钩子,搞了足足两天多。另外还要注意WIN7,特别是64位,你会发现用GetProcAddress获取EnumProcess的地址是不对的,要经过啥啥啥的转换。好麻烦。所以,可以考虑用特征码大法,把地址搜到再钩。新手作品,有大牛看到的话,不要太鄙视了,哈哈哈。。。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
  • 1.jpg (24.14kb,360次下载)
  • 2.jpg (37.40kb,360次下载)
  • 3.jpg (56.28kb,359次下载)
收藏
免费 6
支持
分享
最新回复 (6)
雪    币: 707
活跃值: (1301)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
2
WIN764位HOOK很不好处理,烦!
2011-9-25 20:27
0
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
3
c#a

强大
2011-9-25 21:13
0
雪    币: 25
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
谢谢LZ了,LZ写的很中肯哈
其实个人觉得还是inline的hook比较保险~~
不过LZ这也说过了,只要一检查就~~
2011-9-25 23:08
0
雪    币: 16
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
haw
5
菜鸟学习了!
2011-9-26 08:29
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
来学习了,谢谢楼主
2011-9-26 09:49
0
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
菜鸟学习了!
2011-9-27 15:36
0
游客
登录 | 注册 方可回帖
返回
//