[求助]Win32 HOOK API绝密尚有一问题没有解决，望高手指点迷津-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]Win32 HOOK API绝密尚有一问题没有解决，望高手指点迷津

发表于: 2012-7-16 18:47 8758

[求助]Win32 HOOK API绝密尚有一问题没有解决，望高手指点迷津

路独行

2012-7-16 18:47

8758

DLL文件　　　
;*************************************************************
;****** ******
;****** 本程序为HookAPI、禁止调试Hook ******
;****** 作者：残々剑　 ******
;****** 写于2012年07月15日 ******
;****** ******
;*************************************************************
.386
.model flat,stdcall
option casemap:none
;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
;<<<<<<<<<<<<<<<<<<<<<<<<<定义一个结构体用来存放命令<<<<<<<<<<<<<<<<<<<<
HOOKAPI struct
a byte ?
PMyapi DWORD ?
d BYTE ?
e BYTE ?
HOOKAPI ends
.const
szKernel32 db 'kernel32.dll',0
szOpenProcess db 'OpenProcess',0
szName db '温馨提示',0
szText db '以下程序在执行进程操作！',0
szText1 db '安全卸载Dll',0
.data

.data?
hacker HOOKAPI <?>
hInstance dd ? ;Dll句柄
Apiaddr dd ? ;被Hook的函数地址
hCurProcID dd ? ;进程虚拟句柄
hHookApi dd ?
hHookKey dd ?
BalckCode db 10 dup (?) ;原来函数代码
;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
.code
;HookKey proc _dwCode,_wParam,_lParam
;
; invoke CallNextHookEx,hKeyHook,_dwCode,_wParam,_lParam
; cmp _wParam,VK_F12
; jne _RET
; invoke FindWindow,NULL,offset szWindow
; .if eax
; invoke ShowWindow,eax,SW_SHOW
; .endif
; _RET:
; ret
;
;HookKey endp
SetProcess proto :dword,:dword,:dword,:dword
GetApiaddr proto :dword,:dword,:dword
DllEnter proc _hInstance,_dwReason,_dwReserved
mov eax,_dwReason
.if eax == DLL_PROCESS_ATTACH
push _hInstance
pop hInstance
.elseif eax == DLL_PROCESS_DETACH
invoke SetProcess,Apiaddr,offset BalckCode,7h,0 ;恢愎原函数
.endif
mov eax,TRUE
ret
DllEnter endp
;******取得被Hook的函数地址存入变量
GetApiaddr proc _lpDllName,_lpApiName,_Apiaddr
invoke GetModuleHandle,_lpDllName
invoke GetProcAddress,eax,_lpApiName
mov ebx,_Apiaddr
mov dword ptr [ebx],eax ;返回值就是api的入口点
ret
GetApiaddr endp

;*****读取原函数、修改入口和恢愎被Hook的函数
SetProcess proc _ApiAdd,_lpBuffer,_Len,_Flag ;0还原旧代码、写入新代码,1<非零>读出原值
LOCAL mbi:MEMORY_BASIC_INFORMATION
LOCAL msize:DWORD
invoke VirtualQueryEx,hCurProcID,_ApiAdd,addr mbi,SIZEOF MEMORY_BASIC_INFORMATION ;返回页面虚拟信息
invoke VirtualProtectEx,hCurProcID,mbi.BaseAddress,_Len,PAGE_EXECUTE_READWRITE,addr mbi.Protect ;注：最后一个是个地址
mov eax,_Flag
.if eax == 0
invoke WriteProcessMemory,hCurProcID,_ApiAdd,_lpBuffer,_Len,NULL
.else
invoke ReadProcessMemory,hCurProcID,_ApiAdd,_lpBuffer,_Len,NULL
.endif
invoke VirtualProtectEx,hCurProcID,mbi.BaseAddress,_Len,PAGE_EXECUTE_READ,addr mbi.Protect ;注：最后一个是个地址
ret
SetProcess endp

;******加入钩子链表以便之后Hook调用
HookProc proc _dwCode,_wParam,lParam
invoke CallNextHookEx,hHookApi,_dwCode,_wParam,lParam
mov eax,TRUE
ret
HookProc endp

;******Hook函数入口
MyAPI proc
invoke MessageBox,NULL,addr szText,addr szName,MB_YESNO ;弹出信息框选择是否阻止
.if eax == 6                         ;如果选择否(NO)
;*********************************
;** 填入HOOK的函数 **
;*********************************
.endif
invoke SetProcess,Apiaddr,offset BalckCode,7h,0 ;先还原API
jmp Apiaddr             ;再调用原API地址
ret
MyAPI endp

;******安装钩子函数
InstallHook proc
mov hacker.a,0B8h ;mov eax, ;初始化
mov hacker.PMyapi,offset MyAPI    ;0x0000,这里设置替代API的函数地址
mov hacker.d,0FFh ;jmp
mov hacker.e,0E0h ;eax
invoke GetCurrentProcess
mov hCurProcID,eax
invoke GetApiaddr,offset szKernel32,offset szOpenProcess,offset Apiaddr
invoke SetProcess,Apiaddr,offset BalckCode,7h,1 ;读取原函数前8个字节至缓充区(OpenProcessCode)
invoke SetProcess,Apiaddr,addr hacker,7h,0 ;写入新字节，实现在跳转
invoke SetWindowsHookEx,WH_GETMESSAGE,addr HookProc,hInstance,NULL
mov hHookApi,eax
ret
InstallHook endp

;******卸载钩子函数
UninstallHook proc
invoke SetProcess,Apiaddr,offset BalckCode,7h,0 ;恢愎原函数
invoke UnhookWindowsHookEx,hHookApi
ret
UninstallHook endp
;//////////////////////////////////////////////////////////
;/// 以下是键盘Hook ///
;//////////////////////////////////////////////////////////

HookKeyProc proc uses esi edi ebx _dwCode,_wParam,_lParam
mov eax,_wParam
.if (eax == WH_KEYBOARD) || (eax == WH_JOURNALRECORD) || (eax == WH_KEYBOARD_LL)
mov eax,TRUE
ret
.endif
invoke CallNextHookEx,hHookKey,_dwCode,_wParam,_lParam
ret
HookKeyProc endp

InstallHookKey proc
invoke SetWindowsHookEx,WH_DEBUG,addr HookKeyProc,hInstance,NULL
mov hHookKey,eax
ret
InstallHookKey endp

UninstallHookKey proc
invoke UnhookWindowsHookEx,hHookKey
ret
UninstallHookKey endp

end DllEnter

主程序文件　　　
;*************************************************************
;****** ******
;****** 本程序为HookAPI、禁止调试Hook ******
;****** 作者：残々剑　 ******
;****** 写于2012年07月15日 ******
;****** ******
;*************************************************************
.386
.model flat,stdcall
option casemap:none
;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
;<<<<<<<<<<<<<<<<<<<<<<<<<定义一个结构体用来存放命令<<<<<<<<<<<<<<<<<<<<
HOOKAPI struct
a byte ?
PMyapi DWORD ?
d BYTE ?
e BYTE ?
HOOKAPI ends
.const
szKernel32 db 'kernel32.dll',0
szOpenProcess db 'OpenProcess',0
szName db '温馨提示',0
szText db '以下程序在执行进程操作！',0
szText1 db '安全卸载Dll',0
.data

.data?
hacker HOOKAPI <?>
hInstance dd ? ;Dll句柄
Apiaddr dd ? ;被Hook的函数地址
hCurProcID dd ? ;进程虚拟句柄
hHookApi dd ?
hHookKey dd ?
BalckCode db 10 dup (?) ;原来函数代码
;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
.code
;HookKey proc _dwCode,_wParam,_lParam
;
; invoke CallNextHookEx,hKeyHook,_dwCode,_wParam,_lParam
; cmp _wParam,VK_F12
; jne _RET
; invoke FindWindow,NULL,offset szWindow
; .if eax
; invoke ShowWindow,eax,SW_SHOW
; .endif
; _RET:
; ret
;
;HookKey endp
SetProcess proto :dword,:dword,:dword,:dword
GetApiaddr proto :dword,:dword,:dword
DllEnter proc _hInstance,_dwReason,_dwReserved
mov eax,_dwReason
.if eax == DLL_PROCESS_ATTACH
push _hInstance
pop hInstance
.elseif eax == DLL_PROCESS_DETACH
invoke SetProcess,Apiaddr,offset BalckCode,7h,0 ;恢愎原函数
.endif
mov eax,TRUE
ret
DllEnter endp
;******取得被Hook的函数地址存入变量
GetApiaddr proc _lpDllName,_lpApiName,_Apiaddr
invoke GetModuleHandle,_lpDllName
invoke GetProcAddress,eax,_lpApiName
mov ebx,_Apiaddr
mov dword ptr [ebx],eax ;返回值就是api的入口点
ret
GetApiaddr endp

;*****读取原函数、修改入口和恢愎被Hook的函数
SetProcess proc _ApiAdd,_lpBuffer,_Len,_Flag ;0还原旧代码、写入新代码,1<非零>读出原值
LOCAL mbi:MEMORY_BASIC_INFORMATION
LOCAL msize:DWORD
invoke VirtualQueryEx,hCurProcID,_ApiAdd,addr mbi,SIZEOF MEMORY_BASIC_INFORMATION ;返回页面虚拟信息
invoke VirtualProtectEx,hCurProcID,mbi.BaseAddress,_Len,PAGE_EXECUTE_READWRITE,addr mbi.Protect ;注：最后一个是个地址
mov eax,_Flag
.if eax == 0
invoke WriteProcessMemory,hCurProcID,_ApiAdd,_lpBuffer,_Len,NULL
.else
invoke ReadProcessMemory,hCurProcID,_ApiAdd,_lpBuffer,_Len,NULL
.endif
invoke VirtualProtectEx,hCurProcID,mbi.BaseAddress,_Len,PAGE_EXECUTE_READ,addr mbi.Protect ;注：最后一个是个地址
ret
SetProcess endp

;******加入钩子链表以便之后Hook调用
HookProc proc _dwCode,_wParam,lParam
invoke CallNextHookEx,hHookApi,_dwCode,_wParam,lParam
mov eax,TRUE
ret
HookProc endp

;******Hook函数入口
MyAPI proc
invoke MessageBox,NULL,addr szText,addr szName,MB_YESNO ;弹出信息框选择是否阻止
.if eax == 6                         ;如果选择否(NO)
;*********************************
;** 填入HOOK的函数 **
;*********************************
.endif
invoke SetProcess,Apiaddr,offset BalckCode,7h,0 ;先还原API
jmp Apiaddr             ;再调用原API地址
ret
MyAPI endp

;******安装钩子函数
InstallHook proc
mov hacker.a,0B8h ;mov eax, ;初始化
mov hacker.PMyapi,offset MyAPI    ;0x0000,这里设置替代API的函数地址
mov hacker.d,0FFh ;jmp
mov hacker.e,0E0h ;eax
invoke GetCurrentProcess
mov hCurProcID,eax
invoke GetApiaddr,offset szKernel32,offset szOpenProcess,offset Apiaddr
invoke SetProcess,Apiaddr,offset BalckCode,7h,1 ;读取原函数前8个字节至缓充区(OpenProcessCode)
invoke SetProcess,Apiaddr,addr hacker,7h,0 ;写入新字节，实现在跳转
invoke SetWindowsHookEx,WH_GETMESSAGE,addr HookProc,hInstance,NULL
mov hHookApi,eax
ret
InstallHook endp

;******卸载钩子函数
UninstallHook proc
invoke SetProcess,Apiaddr,offset BalckCode,7h,0 ;恢愎原函数
invoke UnhookWindowsHookEx,hHookApi
ret
UninstallHook endp
;//////////////////////////////////////////////////////////
;/// 以下是键盘Hook ///
;//////////////////////////////////////////////////////////

HookKeyProc proc uses esi edi ebx _dwCode,_wParam,_lParam
mov eax,_wParam
.if (eax == WH_KEYBOARD) || (eax == WH_JOURNALRECORD) || (eax == WH_KEYBOARD_LL)
mov eax,TRUE
ret
.endif
invoke CallNextHookEx,hHookKey,_dwCode,_wParam,_lParam
ret
HookKeyProc endp

InstallHookKey proc
invoke SetWindowsHookEx,WH_DEBUG,addr HookKeyProc,hInstance,NULL
mov hHookKey,eax
ret
InstallHookKey endp

UninstallHookKey proc
invoke UnhookWindowsHookEx,hHookKey
ret
UninstallHookKey endp

end DllEnter

#include "resource.h"
#define IDD_DLG1 1000
#define ICO_MAIN 1001
#define IDC_CHK1 1002
#define IDC_CHK2 1003
#define IDC_EDT1 1004
#define IDC_STC1 1005
#define IDC_BTN1 1006
#define IDC_BTN2 1007
ICO_MAIN ICON "Main.ico"
IDD_DLG1 DIALOGEX 6,6,100,70
CAPTION "HooK示例-->残剑"
FONT 9,"宋体",400,0,134
STYLE 0x94C800C4
EXSTYLE 0x00010101
BEGIN
  CONTROL "HookAPI",IDC_CHK1,"Button",0x50010003,2,18,46,10,0x00000000
  CONTROL "HookKey",IDC_CHK2,"Button",0x50010003,52,18,46,10,0x00000000
  CONTROL "请输入需要HooKApi",IDC_EDT1,"Edit",0x50010000,4,2,94,12,0x00000200
  CONTROL "提示：按Home显示or隐藏",IDC_STC1,"Static",0x50000000,0,32,102,10,0x00000000
  CONTROL "Hook",IDC_BTN1,"Button",0x50010000,2,48,36,12,0x00000000
  CONTROL "UnHook",IDC_BTN2,"Button",0x50010000,60,48,38,12,0x00000000
END
def文件：
EXPORTS InstallHook
EXPORTS UninstallHook
EXPORTS InstallHookKey
EXPORTS UninstallHookKey
inc文件：
InstallHook proto
UninstallHook proto
InstallHookKey proto
UninstallHookKey proto

有一问题想请教各位班竹：如何ＨＯＯＫ指定进程的ＡＰＩ　　比如我要ＨＯＯＫ　进程Ａ　的ＯpenProcsse  在这程序里我应该在哪里下手呢？
注：本程序ＨookKey没有写了。本人ＱＱ：有兴趣的一起讨论：50325232  本程序完全原创

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・2

免费・0

支持

最新回复 (7)
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 2 楼 .....55555 2012-7-16 19:20 0
sunsjw 雪币： 8765 活跃值： (5250) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1252 粉丝 15 关注私信	sunsjw 1 3 楼肯定是在进程A里啊。 2012-7-16 20:59 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 4 楼我的意思是说这些都全局的　钩子。。也就是说只要用的这个ＡＰＩ　　的都会被钩住(正常情况)　　我的意思是我只想某个进程　用到的某个ＡＰＩ　　我才去HOOK他。。。试问这个应该在哪里实现这个攻能 2012-7-16 21:25 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 5 楼看来没有肯帮忙了 2012-7-17 10:27 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 6 楼一般都是全局的 SetWindowsHookEx这个函数是可以指定ThreadId的，可以考虑一下另外还可以使用SetWinEventHook，这个函数可以指定进程ID，可以试一下看看 2012-7-17 12:46 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 7 楼把动态库替成自已的DLL，然后通过自已的DLL调用原来的DLL。 2012-7-17 23:41 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 8 楼微软的Detours框架? 2018-3-30 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

路独行

发帖

142

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 2 楼 .....55555 2012-7-16 19:20 0
sunsjw 雪币： 8765 活跃值： (5250) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1252 粉丝 15 关注私信	sunsjw 1 3 楼肯定是在进程A里啊。 2012-7-16 20:59 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 4 楼我的意思是说这些都全局的　钩子。。也就是说只要用的这个ＡＰＩ　　的都会被钩住(正常情况)　　我的意思是我只想某个进程　用到的某个ＡＰＩ　　我才去HOOK他。。。试问这个应该在哪里实现这个攻能 2012-7-16 21:25 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 5 楼看来没有肯帮忙了 2012-7-17 10:27 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 6 楼一般都是全局的 SetWindowsHookEx这个函数是可以指定ThreadId的，可以考虑一下另外还可以使用SetWinEventHook，这个函数可以指定进程ID，可以试一下看看 2012-7-17 12:46 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 7 楼把动态库替成自已的DLL，然后通过自已的DLL调用原来的DLL。 2012-7-17 23:41 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 8 楼微软的Detours框架? 2018-3-30 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]Win32 HOOK API绝密 尚有一问题没有解决，望高手指点迷津

[求助]Win32 HOOK API绝密尚有一问题没有解决，望高手指点迷津