[原创]无需偷代码的API HOOK-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]无需偷代码的API HOOK

发表于: 2013-5-1 00:45 28137

[原创]无需偷代码的API HOOK

xiaoweime

2013-5-1 00:45

28137

hook api 实现的无非就是实现几种组合：
1：hook api执行自己的函数  +  执行原API + 恢复hook
2：hook api执行自己的函数  + 不执行原API + 恢复hook
3：hook api执行自己的函数  +  执行原API + 不恢复hook
4：hook api执行自己的函数  + 不执行原API + 不恢复hook

你想到的肯定是直接把hook api头部的5个byte偷到自己的函数里执行,这种方法的确可以不过会有几个问题 ,假设api头部 2 条指令 4byte  3条指令 6byte  你只偷了5个字节的话肯定是不行的  得偷6个字节,
方法就是用反汇编引擎确定字节, 用户层还好毕竟不差那么点代码,驱动层就麻烦了,哪经得起这种奢侈，所以用反汇编引擎始终不是办法

我的解决方法
1:hook前保存hook函数的5个byte  //无论什么方法hook 这步肯定是必须的
2:修改要hook的api第一个byte为0e9就是far jmp 其实也可以修改成0e8h 不过需要用汇编
3:修改后面4字节为offset  需要计算自己函数地址-API地址-5
4:现在已经完成hook了可以在自己函数里解决上面那几种方法了
4.1: hook api执行自己的函数  +  执行原API + 恢复hook?
在自己的函数里首先恢复hook api头部的5个字节
执行自己的代码
执行原api
4.2:hook api执行自己的函数  + 不执行原API + 恢复hook?
在自己的函数里首先恢复hook api头部的5个字节
执行自己的代码
4.3:hook api执行自己的函数  +  执行原API + 不恢复hook?
在自己的函数里首先恢复hook api头部的5个字节
执行自己的代码
执行原api
hook原api
4.4:hook api执行自己的函数  + 不执行原API + 不恢复hook?
在自己的函数里首先恢复hook api头部的5个字节
执行自己的代码
执行原api
hook原api

可能我的表达能力有点让人无奈,看不懂我说的话没关系看代码,我尽量写的简洁了,只为了表达一个思路

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

src.rar （1.09kb，288次下载）
bin.rar （13.83kb，198次下载）

收藏・37

免费・6

支持

最新回复 (61) 1 2 3 ▶
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 2 楼在自己的函数里首先恢复hook api头部的5个字节对于这点的话你的HOOK 是一次性的？其实直接修改导入表就可以了（不知道修改DLL的导出表可以行不） 2013-5-1 01:13 0
lwykj 雪币： 870 活跃值： (1033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 3 楼很古老的方法了呵呵不过还是支持一下吧 2013-5-1 01:24 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 4 楼多线程还需要同步 2013-5-1 01:29 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 5 楼你说和我的前几天一个朋友说的差不多, 假如多线程不同步完全是程序员的失误否则微软能解决的话直接帮我们把问题解决就行了 , 互斥体.锁这些东西也就没存在的必要了 2013-5-1 01:40 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 6 楼 1:hook前保存hook函数的5个byte //无论什么方法hook 这步肯定是必须的 2:修改要hook的api第一个byte为0e9就是far jmp 其实也可以修改成0e8h 不过需要用汇编 3:修改后面4字节为offset 需要计算自己函数地址-API地址-5 4:现在已经完成hook了可以在自己函数里解决上面那几种方法了 4.1: hook api执行自己的函数 + 执行原API + 不恢复hook 在自己的函数里首先恢复hook api头部的5个字节执行自己的代码执行原api 在跳到第二步 2:修改要hook的api第一个byte为0e9就是far jmp 其实也可以修改成0e8h 不过需要用汇编 3:修改后面4字节为offset 需要计算自己函数地址-API地址-5 2013-5-1 02:36 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 7 楼直接修改IAT 达到 Hook 上传的附件： Screenshot from 2013-05-01 03:53:53.png （871.11kb，415次下载） 2013-5-1 03:56 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 8 楼这种做法没任何实用意义你把代码恢复回去的时候，这时可能正有线程执行到这段代码，这时你的hook就没任何意义 2013-5-1 08:23 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 9 楼补充一种情况，如果API已经被HOOk，代码已经被偷，前几个字节是相对跳转。 2013-5-1 08:42 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 10 楼多线程就有问题了 2013-5-1 08:45 0
乐乐侠雪币： 14 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 105 粉丝 0 关注私信	乐乐侠 11 楼只会InLine Hook的路过 2013-5-1 08:51 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 12 楼楼上的那些情况还好说如果遇到这种情况就死了，还说什么不要反汇编引擎你hook能否找一些特殊的玩玩啊比如某函数开头是这样的 push ebp mov ebp,esp call xxxxxx 你的这套还好使吗（还给我弄个无论什么方法这不必须走）反汇编引擎是确定特殊情况 2013-5-1 09:07 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 13 楼 lz 会说，怕啥，不是有 hotpatch ，哈哈哈 2013-5-1 09:15 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 14 楼我是直接用汇编实现！ 2013-5-1 10:44 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 15 楼无意冒犯,不会多线程同步最好别用多线程 2013-5-1 18:26 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 16 楼我敢保证你没仔细看过代码,下次看清楚了在说吧挺无奈的现在咋都是这样的呢非得做出一个演示才行? 2013-5-1 18:27 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 17 楼这蛋疼的做法还不如用反汇编引擎呢 2013-5-1 18:32 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 18 楼好了这俩个演示了上面所说的多线程问题和什么无法搞定 push ebp xxx call xxx 问题好了我不在回答傻问题了会者自会吧上传的附件： bin.rar （14.06kb，20次下载） src.rar （1.47kb，49次下载） 2013-5-1 18:33 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 19 楼杀鸡非得用牛刀？实现一个printf非得自己写一个系统？ 2013-5-1 18:34 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 20 楼没意义的帖子,手贱回复了 2013-5-1 19:11 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 21 楼我大胆一次吧，代码我就不看了。我觉得楼主是不是理解错了呢？这HOOK都玩了这么久了，难道没人想出来？另外楼主不会把别人提出的多线程问题理解成别人使用的多线程调用API前要按你的规定来吧？不考虑其它极端问题，难道楼主是要排队所有线程的被HOOK的函数？ 2013-5-1 19:13 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 22 楼你还是看看代码吧多线程什么的我不想解释了,现在才知道代码写的简单也会有人说为什么你们都认为代码越复杂就越好呢? 2013-5-1 19:30 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 23 楼你那样不停的恢复不停的hook 再配合多线程真是稳定啊我佩服了既然不扯了那就不扯了 2013-5-1 19:44 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 24 楼你说特殊情况不行我代码也给你了你还想怎么样？你说多线程不稳定我代码也给你了你还想怎么样？你说不停的恢复不停的hook在配合多线程不稳定我给出的代码是俩个线程循环不停的恢复不停的hook 不停的调用hook函数你还说不稳定你还想怎么样啊？要说不稳定起码也得拿出点信服力的吧? 光你动动嘴皮子我实在无话可说 2013-5-1 19:51 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 25 楼我问你 A线程在恢复到一半 B现在正好调用原始函数此时程序是不是崩溃了这样的代码你敢用吗？ 2013-5-1 19:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xiaoweime

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (61) 1 2 3 ▶
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 2 楼在自己的函数里首先恢复hook api头部的5个字节对于这点的话你的HOOK 是一次性的？其实直接修改导入表就可以了（不知道修改DLL的导出表可以行不） 2013-5-1 01:13 0
lwykj 雪币： 870 活跃值： (1033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 3 楼很古老的方法了呵呵不过还是支持一下吧 2013-5-1 01:24 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 4 楼多线程还需要同步 2013-5-1 01:29 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 5 楼你说和我的前几天一个朋友说的差不多, 假如多线程不同步完全是程序员的失误否则微软能解决的话直接帮我们把问题解决就行了 , 互斥体.锁这些东西也就没存在的必要了 2013-5-1 01:40 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 6 楼 1:hook前保存hook函数的5个byte //无论什么方法hook 这步肯定是必须的 2:修改要hook的api第一个byte为0e9就是far jmp 其实也可以修改成0e8h 不过需要用汇编 3:修改后面4字节为offset 需要计算自己函数地址-API地址-5 4:现在已经完成hook了可以在自己函数里解决上面那几种方法了 4.1: hook api执行自己的函数 + 执行原API + 不恢复hook 在自己的函数里首先恢复hook api头部的5个字节执行自己的代码执行原api 在跳到第二步 2:修改要hook的api第一个byte为0e9就是far jmp 其实也可以修改成0e8h 不过需要用汇编 3:修改后面4字节为offset 需要计算自己函数地址-API地址-5 2013-5-1 02:36 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 7 楼直接修改IAT 达到 Hook 上传的附件： Screenshot from 2013-05-01 03:53:53.png （871.11kb，415次下载） 2013-5-1 03:56 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 8 楼这种做法没任何实用意义你把代码恢复回去的时候，这时可能正有线程执行到这段代码，这时你的hook就没任何意义 2013-5-1 08:23 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 9 楼补充一种情况，如果API已经被HOOk，代码已经被偷，前几个字节是相对跳转。 2013-5-1 08:42 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 10 楼多线程就有问题了 2013-5-1 08:45 0
乐乐侠雪币： 14 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 105 粉丝 0 关注私信	乐乐侠 11 楼只会InLine Hook的路过 2013-5-1 08:51 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 12 楼楼上的那些情况还好说如果遇到这种情况就死了，还说什么不要反汇编引擎你hook能否找一些特殊的玩玩啊比如某函数开头是这样的 push ebp mov ebp,esp call xxxxxx 你的这套还好使吗（还给我弄个无论什么方法这不必须走）反汇编引擎是确定特殊情况 2013-5-1 09:07 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 13 楼 lz 会说，怕啥，不是有 hotpatch ，哈哈哈 2013-5-1 09:15 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 14 楼我是直接用汇编实现！ 2013-5-1 10:44 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 15 楼无意冒犯,不会多线程同步最好别用多线程 2013-5-1 18:26 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 16 楼我敢保证你没仔细看过代码,下次看清楚了在说吧挺无奈的现在咋都是这样的呢非得做出一个演示才行? 2013-5-1 18:27 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 17 楼这蛋疼的做法还不如用反汇编引擎呢 2013-5-1 18:32 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 18 楼好了这俩个演示了上面所说的多线程问题和什么无法搞定 push ebp xxx call xxx 问题好了我不在回答傻问题了会者自会吧上传的附件： bin.rar （14.06kb，20次下载） src.rar （1.47kb，49次下载） 2013-5-1 18:33 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 19 楼杀鸡非得用牛刀？实现一个printf非得自己写一个系统？ 2013-5-1 18:34 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 20 楼没意义的帖子,手贱回复了 2013-5-1 19:11 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 21 楼我大胆一次吧，代码我就不看了。我觉得楼主是不是理解错了呢？这HOOK都玩了这么久了，难道没人想出来？另外楼主不会把别人提出的多线程问题理解成别人使用的多线程调用API前要按你的规定来吧？不考虑其它极端问题，难道楼主是要排队所有线程的被HOOK的函数？ 2013-5-1 19:13 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 22 楼你还是看看代码吧多线程什么的我不想解释了,现在才知道代码写的简单也会有人说为什么你们都认为代码越复杂就越好呢? 2013-5-1 19:30 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 23 楼你那样不停的恢复不停的hook 再配合多线程真是稳定啊我佩服了既然不扯了那就不扯了 2013-5-1 19:44 0
xiaoweime 雪币： 136 活跃值： (107) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 41 粉丝 3 关注私信	xiaoweime 1 24 楼你说特殊情况不行我代码也给你了你还想怎么样？你说多线程不稳定我代码也给你了你还想怎么样？你说不停的恢复不停的hook在配合多线程不稳定我给出的代码是俩个线程循环不停的恢复不停的hook 不停的调用hook函数你还说不稳定你还想怎么样啊？要说不稳定起码也得拿出点信服力的吧? 光你动动嘴皮子我实在无话可说 2013-5-1 19:51 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 25 楼我问你 A线程在恢复到一半 B现在正好调用原始函数此时程序是不是崩溃了这样的代码你敢用吗？ 2013-5-1 19:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复