备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

C/C++ IAT HOOK MessageBoxW

2022-12-24 236
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 最近在研究各种姿势的 HOOK,虽然 HOOK 这个东西已经是很久之前就有的技术了,但好在目前应用仍然很广泛,所以老老实实肯大佬们 10 年前啃过的骨头,下面是庄重的代码献祭时刻。

最近在研究各种姿势的 HOOK,虽然 HOOK 这个东西已经是很久之前就有的技术了,但好在目前应用仍然很广泛,所以老老实实肯大佬们 10 年前啃过的骨头,下面是庄重的代码献祭时刻。

首先 IAT HOOK 需要使用 DLL , 这里有两个项目工程,一个是 MFC窗体应用(用来测试),一个是我们的 DLL (主要功能)。

DLL 代码:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"
#include <iostream>
#include "windows.h"
#include "process.h"
#include "tlhelp32.h"
#include <Winsock2.h>
#include "stdio.h"

using namespace std;

#pragma region 全局变量

HMODULE Current_Handle;                // 进程句柄
PBYTE pfile;                        // 指向 PE 入口地址
PIMAGE_DOS_HEADER Dos_Header;       // Dos 头
PIMAGE_NT_HEADERS Nt_Header;        // NT 头
DWORD IATSection_Base;                // IAT 段基址
DWORD IATSection_Size;                // IAT 段大小
DWORD oldFuncAddress;                // 原 API 地址
DWORD newFuncAddress;                // 新 API 地址

#pragma endregion

#pragma region 依赖函数

// 判断字符数组是否相等
BOOL str_cmp(char *a,char *b){
    while(*a==*b && *a!='\0' && *b!='\0'){
        a++;
        b++;
    }
    if(*a=='\0' && *b=='\0') return true;
    return false;
}

// 自己的 API函数
int WINAPI NewMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) {
    return MessageBoxW(NULL,L"IAT HOOK",L"HOOK", NULL);
}

#pragma endregion

#pragma region 功能函数

// HOOK 指定 dll 内的 API
bool IatHook(LPCSTR DllName,LPCSTR ProcName,DWORD NewFuncAddress) {
    DWORD oldprotect = 0;    // 原来的内存保护属性
    
    // 从 dll 中查找函数地址
    oldFuncAddress = (DWORD)GetProcAddress(
        GetModuleHandleA(DllName),    // dll名
        ProcName                    // 函数名
        );

    PIMAGE_THUNK_DATA pthunk = NULL;    // 由 IMAGE_IMPORT_DESCRIPTOR.FirstThunk 给出

    // 定位 IAT
    PIMAGE_IMPORT_DESCRIPTOR Current_IID = (PIMAGE_IMPORT_DESCRIPTOR)(pfile + IATSection_Base);

    // 遍历 IAT
    while (Current_IID){
        // 找到想要的 dll(此处为 User32.dll)
        if (str_cmp((char *)DllName,(char *)(pfile + Current_IID->Name))){
            // 定位到 IMAGE_THUNK_DATA 结构体
            pthunk = (PIMAGE_THUNK_DATA)(pfile+Current_IID->FirstThunk);
            
            // 遍历被输入的函数地址
            while (pthunk->u1.Function){
                // 找到想要的函数(这里为 MessageBoxW)
                if (pthunk->u1.Function == (DWORD)oldFuncAddress){                    
                    // 修改内存保护属性为可读可写
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, PAGE_EXECUTE_READWRITE, &oldprotect);
                    
                    // 替换原 API
                    pthunk->u1.Function = NewFuncAddress;

                    // 记录原 API 地址
                    newFuncAddress = pthunk->u1.Function;

                    // 恢复内存保护属性
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, oldprotect, &oldprotect);

                    return true;
                }
                pthunk++;
            }
        }
        Current_IID++;
    }

    return false;
}

// UNHOOK 指定 dll 内的 API
bool IatUnHook(LPCSTR DllName,DWORD OldFuncAddress) {

    DWORD oldprotect = 0;    // 原来的内存保护属性
    PIMAGE_THUNK_DATA pthunk = NULL;    // 由 IMAGE_IMPORT_DESCRIPTOR.FirstThunk 给出

    // 定位 IAT
    PIMAGE_IMPORT_DESCRIPTOR Current_IID = (PIMAGE_IMPORT_DESCRIPTOR)(pfile + IATSection_Base);

    // 遍历 IAT
    while (Current_IID){
        // 找到想要的 dll(此处为 User32.dll)
        if (str_cmp((char *)DllName,(char *)(pfile + Current_IID->Name))){
            // 定位到 IMAGE_THUNK_DATA 结构体
            pthunk = (PIMAGE_THUNK_DATA)(pfile+Current_IID->FirstThunk);
            
            // 遍历被输入的函数地址
            while (pthunk->u1.Function){
                // 找到想要的函数(这里为 MessageBoxW)
                if (pthunk->u1.Function == newFuncAddress){            
                    // 修改内存保护属性为可读可写
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, PAGE_EXECUTE_READWRITE, &oldprotect);
                    
                    // 替换原来的函数
                    pthunk->u1.Function = OldFuncAddress;

                    // 恢复内存保护属性
                    VirtualProtect((LPVOID)&pthunk->u1.Function, 4, oldprotect, &oldprotect);

                    return true;
                }
                pthunk++;
            }
        }
        Current_IID++;
    }

    return false;
}

// 获取 PE信息
void PeInit(){
    Current_Handle = GetModuleHandle(NULL);            // 获取 dll 注入进程的句柄(基地址)
    pfile = (PBYTE)Current_Handle;                    // 类型转换,初始化 PE头
    Dos_Header = (PIMAGE_DOS_HEADER)pfile;            // 类型转换,初始化 DOS头

    // 判断是否定位到 NT头
    if (Dos_Header->e_magic != IMAGE_DOS_SIGNATURE){
        OutputDebugString("Is Not PE");
        return;
    }

    // 计算 NT头 的地址
    Nt_Header = (PIMAGE_NT_HEADERS)(pfile + Dos_Header->e_lfanew);

    // 判断是否定位到 NT头
    if (Nt_Header->Signature != IMAGE_NT_SIGNATURE) {
        OutputDebugString("Is Not PE");
        return;
    }

    // 获取 IAT地址、IAT大小
    IMAGE_DATA_DIRECTORY IAT_Section = (IMAGE_DATA_DIRECTORY)(Nt_Header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]);
    IATSection_Base = IAT_Section.VirtualAddress;
    IATSection_Size = IAT_Section.Size;
}

#pragma endregion

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        {
            // 还原数据
            Current_Handle = NULL;
            pfile = NULL;
            Dos_Header = NULL;
            Nt_Header = NULL;
            IATSection_Base = 0;
            IATSection_Size = 0;
            oldFuncAddress = 0;
            newFuncAddress = 0;

            // 获取 PE信息
            PeInit();

            // Hook MessageBoxW
            if(IatHook("USER32.dll","MessageBoxW",(DWORD)NewMessageBoxW)){MessageBox(NULL,"HOOK成功","LYSM",NULL);}
            else{MessageBox(NULL,"HOOK失败","LYSM",NULL);}

            break;        
        }
                            
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        {
            // UnHook MessageBoxW
            if(IatUnHook("USER32.dll",oldFuncAddress)){MessageBox(NULL,"UNHOOK成功","LYSM",NULL);}
            else{MessageBox(NULL,"UNHOOK失败","LYSM",NULL);}
            
            break;
        }
    }
    return TRUE;
}

下面是界面巨丑无比的 MFC 代码:

HMODULE hDllLib;

// 加载 dll 按钮
void CTest_MFCDlg::OnBnClickedButton1()
{
    // TODO: 在此添加控件通知处理程序代码

    // 方便测试使用了绝对路径,建议使用相对路径
    hDllLib = LoadLibrary("E:\\MyFiles\\Programing\\vs2012\\MyPrograms\\Test_Dll\\Debug\\Test_Dll.dll");
}

// 卸载 dll 按钮
void CTest_MFCDlg::OnBnClickedButton2()
{
    // TODO: 在此添加控件通知处理程序代码
    FreeLibrary(hDllLib);
}

// 打印 hello world 按钮
void CTest_MFCDlg::OnBnClickedButton3()
{
    // TODO: 在此添加控件通知处理程序代码
    MessageBoxW(NULL,L"hello world",L"lyshark",NULL);
}
文章标签:
C++
lyshark
目录
相关文章
luopanforever
|
4月前
|
关系型数据库 MySQL API
如何使用hook?
如何使用hook?
luopanforever
15 0
Clover&lsquo;sBlog
|
9月前
|
JavaScript API
自定义hook是什么
自定义hook是什么
Clover&lsquo;sBlog
52 0
游客ruqdfvh2iuyqc
|
存储 JavaScript 前端开发
react 进阶hook 之 Effect Hook
在效果图中,ui是会先出现的,然后我们的title值才会从 viteApp 改成 title 0,所以可以证明 effect的执行时间点是在等ui 渲染之后再来进行执行的,并且打印我会优先effect会优先输出。也就是异步执行
游客ruqdfvh2iuyqc
111 0
react 进阶hook 之 Effect Hook
游客ruqdfvh2iuyqc
|
前端开发 JavaScript
react 进阶hook 之 State Hook
在类组件中,使用 this.setState({a:xxx}) 是会对当前类实例的属性进行混合。但是在state hook 中是不会进行混合的,原因嘛: 官方就是要让你你定义多个 hooks, 将每一个代码块进行分离,从而降低代码的维护成本。
游客ruqdfvh2iuyqc
126 0
react 进阶hook 之 State Hook
游客ruqdfvh2iuyqc
|
前端开发
react 进阶hook 之 useImperativeHandle hook
这个hook比较简单,作用: 获取函数组件里面的事件,我们通过 ref 来获取类组件的事件,所以 这个 useImperativeHandle Hook 一般是于 ref 转发一起使用。
游客ruqdfvh2iuyqc
217 0
react 进阶hook 之 useImperativeHandle hook
游客ruqdfvh2iuyqc
|
JavaScript 前端开发
react 进阶hook 之 useLayoutEffect hook
useLayoutEffect 其函数签名与 useEffect相同,但它会在所有的 DOM 变更之后同步调用 effect。可以使用它来读取 DOM 布局并同步触发重渲染
游客ruqdfvh2iuyqc
151 0
react 进阶hook 之 useLayoutEffect hook
游客ruqdfvh2iuyqc
|
前端开发
react 进阶hook 之 context Hook
react context 上下文,相信大家都会使用。不会的可查看。详情的概念这里不介绍,只接受在函数组件中,使用context hooks 的使用
游客ruqdfvh2iuyqc
169 0
react 进阶hook 之 context Hook
游客ruqdfvh2iuyqc
|
前端开发
react 进阶hook 之自定义Hook
hooks是一个函数,并且是在react 函数组件中使用的,不同的hook的作用也是不一样的,例如,state hook是用来定义函数组件的状态, 而effect hook 是用来定义组件的副作用,那么自定义hook是用来干啥的呢?,自定来定义一个hook 函数,里面可以包含 多个hooks。简单点的说是,把相同逻辑的hooks封装在同一个函数里。
游客ruqdfvh2iuyqc
288 0
react 进阶hook 之自定义Hook
游客ruqdfvh2iuyqc
|
前端开发
react 进阶hook 之 useCallback hook
原因就是在于那个回调函数,还记得属性传入一个函数,如果是直接在事件后面绑定那么每一次render的时候就会重新生成一个函数。并且每一次的函数的地址都不一样,所以这就是为啥 父组件渲染,子组件也会跟着渲染的根本原因。
游客ruqdfvh2iuyqc
92 0
react 进阶hook 之 useCallback hook
Iric
|
监控
钩子 (Hook)
钩子 (Hook)
Iric
171 1

热门文章

最新文章

  • 1
    解决关于Windows Defender Antivirus Service自启造成运行python程序时,Windows的cpu和内存占用过高问题
  • 2
    订票系统不再瘫痪 阿里云确认与12306合作
  • 3
    2022年了!你有几种获取URL参数的方法?
  • 4
    基于Tablestore的一站式物联网存储解决方案-场景篇
  • 5
    使用 Notepad++ 编辑 .java 文件时的相关配置
  • 6
    烂泥:IIS主机头的理解与应用
  • 7
    安装SQLSERVER2000时出现以前的某个程序安装已在安装计算机上创建挂起的文件操作
  • 8
    android 官方文档中的一些错误收集
  • 9
    Git SSH Key 生成步骤
  • 10
    iReport中求和的问题
  • 1
    【C言专栏】C 语言结构体的应用与实践
    18
  • 2
    【C 言专栏】C 语言指针的深度解析
    19
  • 3
    【专栏:HTML与CSS前端技术趋势篇】HTML与CSS在PWA(Progressive Web Apps)中的应用
    18
  • 4
    【专栏:HTML与CSS前端技术趋势篇】前端框架(React/Vue/Angular)与HTML/CSS的结合使用
    17
  • 5
    Docker部署Traefik结合内网穿透远程访问Dashboard界面
    22
  • 6
    【专栏:HTML 与 CSS 前端技术趋势篇】Web 性能优化:CSS 与 HTML 的未来趋势
    11
  • 7
    探索自动化测试工具Selenium Grid的高效集成策略
    11
  • 8
    深入理解PHP中的命名空间
    13
  • 9
    【专栏:HTML与CSS前端技术趋势篇】渐进式增强与优雅降级在前端开发中的实践
    10
  • 10
    【专栏:HTML与CSS前端技术趋势篇】网页设计中的CSS Grid与Flexbox之争
    11

    • 相关课程

    更多
  • C++ 入门教程开发文档

    • 相关电子书

    更多
  • 使用C++11开发PHP7扩展
  • 继承与功能组合
  • 对象的生命期管理
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考