[原创]RING3代码HOOK的原理实现（学习笔记1）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]RING3代码HOOK的原理实现（学习笔记1）

发表于: 2008-12-10 14:13 21520

[原创]RING3代码HOOK的原理实现（学习笔记1）

bzhkl

2008-12-10 14:13

21520

最初看见俄国一份DELPHI代码这样实现，他的优点在于
  1, 在代理函数的内部不用先UNHOOK，再调用，再重新HOOK，否则多线程下会出问题
  2, 没有硬编码，结构性比较好。

bool AfxHookCode(void* TargetProc, void* NewProc,void ** l_OldProc, int bytescopy = 5)
{

DWORD dwOldProtect;

::VirtualProtect((LPVOID)TargetProc, bytescopy, PAGE_EXECUTE_READWRITE, &dwOldProtect);

*l_OldProc = new unsigned char[bytescopy+5];       // 为拷贝执行被覆盖的指令申请空间

memcpy(*l_OldProc, TargetProc, bytescopy);          // 事先保存被破坏的指令

*((unsigned char*)(*l_OldProc) + bytescopy) = 0xe9; // 我的内存的代码执行完跳到原来的代码 + 破坏的代码的长度上去

      //被破坏指令的长度    //E9 opcode长度 //算出偏移的OPCODE = 被HOOK函数地址的地址 + 破坏指令的长度 - 我分配内存的结束地址
*(unsigned int *)((unsigned char*)(*l_OldProc) +bytescopy       +    1)       = (unsigned int)(TargetProc) + bytescopy - ( (unsigned int)((*l_OldProc)) + 5 + bytescopy ) ;  // 我内存代码跳到原来代码上的偏移

*(unsigned char*)TargetProc =(unsigned char)0xe9;          //被HOOK的函数头改为jmp

   //算出偏移的OPCODE  = 代理函数地址 - 被HOOK函数地址
*(unsigned int*)((unsigned int)TargetProc +1) = (unsigned int)NewProc - ( (unsigned int)TargetProc + 5) ; //被HOOK的地方跳到我的新过程接受过滤

::VirtualProtect((LPVOID)TargetProc, bytescopy, dwOldProtect, 0);
return true;
}

bool AfxUnHookCode(void* TargetAddress, void * l_SavedCode, unsigned int len)
{
DWORD dwOldProtect;

::VirtualProtect((LPVOID)TargetAddress, len, PAGE_EXECUTE_READWRITE, &dwOldProtect);

// 恢复被破坏处的指令
memcpy(TargetAddress, l_SavedCode, len);

::VirtualProtect((LPVOID)TargetAddress, len, dwOldProtect, 0);

   return true;
}

unsigned int *  OldProc;
typedef
int
(__stdcall * MYMESSAGEBOX)    //用于调用自己分配内存处的代码强制转换
(
IN HWND hWnd,
IN LPCSTR lpText,
IN LPCSTR lpCaption,
IN UINT uType);

int
__stdcall    // 这里不声明成stdcall的话编译器认为是C声明方式要自己平衡堆栈
MyMessageBox(
IN HWND hWnd,
IN LPCSTR lpText,
IN LPCSTR lpCaption,
IN UINT uType)
{

// 这里可以执行一些过滤行为比如改变参数或者直接模拟返回正确的结果
if ( strcmp(lpText, "sample") == 0)
{
printf("filter");
return 1;
}

   //强制转换成API函数类型调用原来的函数
return ( (MYMESSAGEBOX) OldProc)(hWnd, lpText, lpCaption, uType);

}

int main()
{
MessageBox(0, "sample", "caption", MB_OK); //正常调用MSG

                                                            // 这里一定要传地址变量的地址  直接传地址的话地址变量是一份拷贝根本不能保存分配的内存的地址（在我看来指针就是地址变量）
      //当初写的时候调了3遍才知道这个原因- -
AfxHookCode((void*)MessageBox, (void*)MyMessageBox, (void**)&OldProc, 5);

MessageBox(0, "sample", "caption", MB_OK);  //被过滤掉了

AfxUnHookCode((void*)MessageBox, OldProc, 5); // 恢复被hook的代码

getchar();

return 0;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

AfxHookCode VC++6.0工程.rar （3.15kb，465次下载）

收藏・19

免费・7

支持

最新回复 (28) 1 2 ▶
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼虽然比较老了……不过还是顶下 2008-12-10 14:51 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 3 楼谢谢~ 基础最重要嘛= = 基础懂了研究别的也就容易了哈 2008-12-10 14:57 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 4 楼别的不说，收藏代码，顶lz 2008-12-11 21:04 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 5 楼 header inline太没意思了，又麻烦又容易出问题，指针替换最爽了，又安全又快捷 2008-12-11 21:07 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 6 楼跟MS的Detour差不多吧? 2008-12-11 23:42 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 7 楼还有delphi版的吗？ 2008-12-11 23:46 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 8 楼 to 5楼: 1 个人认为这种模式非常方便看过很多方式HOOK 这种模式很方便代码结构非常好 2 这不一定只能用在header 是 CODE HOOK 随便在哪里HOOK 不一定在函数头当然HOOK API有另外的函数比这个还方便具体见附件另外这种构架用了几年了用的人多了没出过问题 = = to 7楼：有在附件使用方法参考我一楼的吧~ 上传的附件： afxCodeHook.rar （6.30kb，237次下载） 2008-12-12 00:46 0
crazybug 雪币： 12 活跃值： (595) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 9 楼 1.header inline 存在着无法解决的安全性问题，不管如何同步操作，都会导致问题，只是概率较低，你没碰到而已，原因是HOOK的指令不是一条，原理自己去想吧，指针替换就没这个问题 2.用的人多就说明没问题了？微软怎么不推荐用这个呢？ 3.比起指针替换，这种HOOK操作起来的繁琐性、包括多次HOOK、同其他人HOOK的冲突上，都存在很大的弊端 4.如果不在HEADER上，这种HOOK还存在被跳走的可能～所以无法通用总之CODE INLINE很挫很垃圾～ 2008-12-12 10:09 0
devilfire 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	devilfire 10 楼虽然不懂,也顶一下! 2008-12-12 10:48 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 11 楼标记下，自己上次准备写个全局的，正好学习楼主的代码 2008-12-12 11:26 0
fishjam 雪币： 395 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fishjam 12 楼大概看了一下，个问题没有想懂：按照一楼的写法，原函数的头五个字节的汇编必须组成完整的命令，否则汇编命令可能出错，这部是否是Delphi代码中SizeOfProc的起的作用？ 2008-12-19 21:57 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 13 楼大家都各说各的，我认为不错的，初级时只会HOOK——MYAPI——UNHOOK——MYFUN——HOOK，我觉得这个应该高级些，实用！ 2008-12-21 10:23 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 14 楼 bool AfxHookCode(void* TargetProc, void* NewProc,void ** l_OldProc, int bytescopy = 5) 注意看函数声明 = = 第五个是参数传进去的可以是7字节 8字节等等 = = 2008-12-21 23:39 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 15 楼改成全局的出错了，提示内存不能为写，想法可以，我需要进一步调试，哎调试半天还不行，明明都可以，不知道怎么了！算了不如使用临界区来保护那段内在，不不知道行不！ 2008-12-24 09:11 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 16 楼改成全局的不行，经调试在这一句((unsigned char)(*l_OldProc)+bytescopy) = 0xe9;有问题，为什么？ 2008-12-24 15:47 0
jhb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jhb 17 楼好，喜欢. 辛苦了。呵呵。 2009-2-19 02:28 0
ben中文雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	ben中文 18 楼能給個指針替換方法的文章鏈接嗎？我google了一下，沒有找到相關的文章。另外，除了header inline和指針替換之外，還有別的hook方法嗎？謝謝！ 2009-2-19 11:13 0
sunsjw 雪币： 8739 活跃值： (5205) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 19 楼 inline hook最好是能有一个小的反汇编引擎.计算出前面几个要hook是多少个字节... 不然的话还是有可能会出错... 2009-2-20 16:08 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 20 楼 TAG:RING3代码HOOK的原理实现 INLINE / HEADER HOOK API SRC 源码 C++ DELPHI 2009-2-20 18:42 0
kingcom 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	kingcom 21 楼很多时候没法替换指针的，只能hook函数体。并且微软有个detours库，是官方的实现 2009-3-21 12:52 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 22 楼哈哈。找了半天，才找到。收藏了。 2009-11-8 17:46 0
starskywh 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	starskywh 23 楼我觉着很好. 2009-12-3 11:43 0
zhyong 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	zhyong 24 楼楼主能整理一份DELPHI版本的吗，你的思路值得学习！ 2009-12-12 09:24 0
skymelai 雪币： 38 活跃值： (11) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	skymelai 25 楼什么是指针替换，给讲讲？好像这个方法很利害。 2009-12-12 11:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bzhkl

发帖

403

回帖

240

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼虽然比较老了……不过还是顶下 2008-12-10 14:51 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 3 楼谢谢~ 基础最重要嘛= = 基础懂了研究别的也就容易了哈 2008-12-10 14:57 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 4 楼别的不说，收藏代码，顶lz 2008-12-11 21:04 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 5 楼 header inline太没意思了，又麻烦又容易出问题，指针替换最爽了，又安全又快捷 2008-12-11 21:07 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 6 楼跟MS的Detour差不多吧? 2008-12-11 23:42 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 7 楼还有delphi版的吗？ 2008-12-11 23:46 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 8 楼 to 5楼: 1 个人认为这种模式非常方便看过很多方式HOOK 这种模式很方便代码结构非常好 2 这不一定只能用在header 是 CODE HOOK 随便在哪里HOOK 不一定在函数头当然HOOK API有另外的函数比这个还方便具体见附件另外这种构架用了几年了用的人多了没出过问题 = = to 7楼：有在附件使用方法参考我一楼的吧~ 上传的附件： afxCodeHook.rar （6.30kb，237次下载） 2008-12-12 00:46 0
crazybug 雪币： 12 活跃值： (595) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 9 楼 1.header inline 存在着无法解决的安全性问题，不管如何同步操作，都会导致问题，只是概率较低，你没碰到而已，原因是HOOK的指令不是一条，原理自己去想吧，指针替换就没这个问题 2.用的人多就说明没问题了？微软怎么不推荐用这个呢？ 3.比起指针替换，这种HOOK操作起来的繁琐性、包括多次HOOK、同其他人HOOK的冲突上，都存在很大的弊端 4.如果不在HEADER上，这种HOOK还存在被跳走的可能～所以无法通用总之CODE INLINE很挫很垃圾～ 2008-12-12 10:09 0
devilfire 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	devilfire 10 楼虽然不懂,也顶一下! 2008-12-12 10:48 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 11 楼标记下，自己上次准备写个全局的，正好学习楼主的代码 2008-12-12 11:26 0
fishjam 雪币： 395 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fishjam 12 楼大概看了一下，个问题没有想懂：按照一楼的写法，原函数的头五个字节的汇编必须组成完整的命令，否则汇编命令可能出错，这部是否是Delphi代码中SizeOfProc的起的作用？ 2008-12-19 21:57 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 13 楼大家都各说各的，我认为不错的，初级时只会HOOK——MYAPI——UNHOOK——MYFUN——HOOK，我觉得这个应该高级些，实用！ 2008-12-21 10:23 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 14 楼 bool AfxHookCode(void* TargetProc, void* NewProc,void ** l_OldProc, int bytescopy = 5) 注意看函数声明 = = 第五个是参数传进去的可以是7字节 8字节等等 = = 2008-12-21 23:39 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 15 楼改成全局的出错了，提示内存不能为写，想法可以，我需要进一步调试，哎调试半天还不行，明明都可以，不知道怎么了！算了不如使用临界区来保护那段内在，不不知道行不！ 2008-12-24 09:11 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 16 楼改成全局的不行，经调试在这一句((unsigned char)(*l_OldProc)+bytescopy) = 0xe9;有问题，为什么？ 2008-12-24 15:47 0
jhb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jhb 17 楼好，喜欢. 辛苦了。呵呵。 2009-2-19 02:28 0
ben中文雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	ben中文 18 楼能給個指針替換方法的文章鏈接嗎？我google了一下，沒有找到相關的文章。另外，除了header inline和指針替換之外，還有別的hook方法嗎？謝謝！ 2009-2-19 11:13 0
sunsjw 雪币： 8739 活跃值： (5205) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 19 楼 inline hook最好是能有一个小的反汇编引擎.计算出前面几个要hook是多少个字节... 不然的话还是有可能会出错... 2009-2-20 16:08 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 20 楼 TAG:RING3代码HOOK的原理实现 INLINE / HEADER HOOK API SRC 源码 C++ DELPHI 2009-2-20 18:42 0
kingcom 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	kingcom 21 楼很多时候没法替换指针的，只能hook函数体。并且微软有个detours库，是官方的实现 2009-3-21 12:52 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 22 楼哈哈。找了半天，才找到。收藏了。 2009-11-8 17:46 0
starskywh 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	starskywh 23 楼我觉着很好. 2009-12-3 11:43 0
zhyong 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	zhyong 24 楼楼主能整理一份DELPHI版本的吗，你的思路值得学习！ 2009-12-12 09:24 0
skymelai 雪币： 38 活跃值： (11) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	skymelai 25 楼什么是指针替换，给讲讲？好像这个方法很利害。 2009-12-12 11:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]RING3代码HOOK的原理实现 （学习笔记1）

[原创]RING3代码HOOK的原理实现（学习笔记1）