[原创]一个有趣的APIHook用宏-编程技术-看雪-安全社区|安全招聘|kanxue.com

17

[原创]一个有趣的APIHook用宏

发表于: 2015-3-28 21:37 6239

[原创]一个有趣的APIHook用宏

xhbuming

活跃值

2015-3-28 21:37

6239

不管用什么APIHook库,或怎样实现APIHook都避免不了要
先声明一个函数指针存储要Hook的函数指针，再声明一个跳转函数的实现函数。
这里以detours给的一段例子作为说明

1

2

3

4

5

6

static DWORD (WINAPI * TrueSleepEx)(DWORD dwMilliseconds, BOOL bAlertable);
 
DWORD WINAPI TimedSleepEx(DWORD dwMilliseconds, BOOL bAlertable)
{
    return TrueSleepEx(dwMilliseconds, bAlertable);
}

如果HOOK的函数比较少，倒是没什么，但如果Hook的函数多了，譬如行为分析类程序，那会让人抓狂的。

这时，一个不错的宏就派上用场了

1

2

3

#define HOOKDEF(return_value, calling_convention, apiname, ...) \
    return_value (calling_convention *Real_##apiname)(__VA_ARGS__); \
    return_value calling_convention Mine_##apiname(__VA_ARGS__)

这时上面的代码,就可简化为

1

2

3

4

5

6

HOOKDEF(DWORD , WINAPI, SleepEx, 
    DWORD dwMilliseconds,
    BOOL bAlertable)
{
    return Real_SleepEx(dwMilliseconds, bAlertable);
}

上面的那个宏定义来自于 cuckoo的开源代码，对行为分析有兴趣的可以看下
https://codeload.github.com/cuckoobox/cuckoomon/zip/master

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・17

免费

支持

分享

最新回复 (7)
exile 雪币： 2105 活跃值： (569) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼 mark. 2015-3-28 21:44 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 3 楼学习了..当时用Detour一个一个定义的.. 2015-3-28 21:47 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 4 楼谢谢分享 2015-3-29 10:16 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 13 关注私信	Rprop 5 楼如果你使用高版本MSVC, 配合lambda表达式和auto特性, 将会更加简洁 2015-3-29 10:26 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 6 楼怎么看不懂呢 2015-3-29 15:13 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 7 楼学习~ 谢分享 2015-3-29 15:53 0
pythoner 雪币： 1313 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 49 粉丝 0 关注私信	pythoner 8 楼好东西，正好在想如何简化Detour多个函数 2015-4-3 22:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

xhbuming

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区