C++ 在Ring3下的通用API HOOK

原创

EugeneFWD 2022-11-08 00:19:07 博主文章分类：Hijack ©著作权

文章标签 windows #include 反汇编头文件 文章分类 运维

©著作权归作者所有：来自51CTO博客作者EugeneFWD的原创作品，请联系作者获取转载授权，否则将追究法律责任

说道API HOOK ，这已经是老掉牙的技术了，但是它的实用性却是不能忽视的。虽然在网上这类的文章很多，但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行，但是不通用，因为一些特殊函数的前5字节不是完整的，如果直接修改，就会截断指令，导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子，感觉想法很好，于是自己也写了一个。其中用到了一个头文件LDasm.h（里面实际就是一个轻量级的反汇编引擎，网上可以下载到）。

第一个函数用于对指定API进行HOOK，并返回一个进入原函数的代理函数地址。

#include "stdafx.h"
#include "LDasm.h"
#include <windows.h>

DWORD proxyFunction;
void* HookFunc(char* ModuleName,char* FuncName,void* NewFunc)
{
  void* proxyFunction = 0;
  unsigned char* OpCode = 0;
  ULONG BackupLength = 0;
  unsigned char JmpCode[6]={0x68,0x00,0x00,0x00,0x00,0xc3};
  unsigned char JmpBackCode[6]={0x68,0x00,0x00,0x00,0x00,0xc3};
  /*
  原代码用的是GetModuleHandle(ModuleName);这要成功的
  前提是：只有欲获取的模块已映射到调用该函数的进程内，才会正确得到模块句柄。
  常用模块映射函数：LoadLibrary（..）
  */
  HMODULE hMod = GetModuleHandle(ModuleName);
  void* sourFunc = GetProcAddress(hMod,FuncName);

  if(!sourFunc)
    return NULL;

  *(ULONG*)(&JmpCode[1])=(ULONG)NewFunc;

  while(BackupLength<6)
  {
    BackupLength += SizeOfCode((void*)((ULONG)sourFunc+BackupLength),&OpCode);
  }

  proxyFunction = VirtualAlloc(NULL,BackupLength + 6,MEM_RESERVE| MEM_COMMIT,PAGE_EXECUTE_READWRITE);
  if (!proxyFunction)
    return NULL;

  *(ULONG*)((ULONG)JmpBackCode + 1) = (ULONG)sourFunc + BackupLength;
  RtlCopyMemory(proxyFunction,sourFunc,BackupLength);
  RtlCopyMemory((PVOID)((ULONG)proxyFunction + BackupLength),JmpBackCode, 6);
  FlushInstructionCache((HANDLE) - 1,proxyFunction,BackupLength + 6);
  DWORD OldProtect = 0;
  VirtualProtect(sourFunc, 6,PAGE_EXECUTE_READWRITE, &OldProtect);
  RtlCopyMemory(sourFunc,JmpCode, 6);
  VirtualProtect(sourFunc, 6,OldProtect, &OldProtect);
  FlushInstructionCache((HANDLE) -1,sourFunc, 6);
  return proxyFunction;
}

int audit()
{
  static int cnt;
  DWORD Lab1Offset;

  __asm
  {
    mov eax,Lab1;
    mov Lab1Offset,eax;
  }
  DWORD OldProtect = 0;
  VirtualProtect((void*)Lab1Offset, 4,PAGE_EXECUTE_READWRITE, &OldProtect);

  cnt++;
  //跳转前要绕过_chkesp
  __asm
  {
    pop edi;
    pop esi;
    pop ebx;
    mov esp,ebp;
    pop ebp;
  }

  __asm
  {
    mov eax,proxyFunction;
    mov ebx,Lab1;
    mov [ebx],eax;
    _emit 0x68;
Lab1:
    _emit 0x90;
    _emit 0x90;
    _emit 0x90;
    _emit 0x90;
    ret;
  }
  return 0;
}

int _tmain(int argc, _TCHAR* argv[])
{
  proxyFunction = (DWORD)HookFunc("user32.dll","MessageBoxA",audit);

  MessageBox(NULL,"","",MB_OK);
  return 0;
}