AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Windows API Hooking 学习

2023-10-07 114
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Windows API Hooking 学习

实验去Hook以及UnhookMessageBoxA,来了解WindowsAPI的Hooking技术,当然也可以尝试实验任意函数

API hooking 是一种让我们监测和修改API调用的技术,Windows API hooking也是AV/EDR用来确定代码是否恶意的技术之一。

本文参照链接:https://resources.infosecinstitute.com/topic/api-hooking/的实验去理解

实验:

编写一个C++程序,整体的工作方式如下:

  1. Get memory address of the MessageBoxA function
  2. Read the first 6 bytes of the MessageBoxA - (will need these bytes for unhooking the function)
  3. Create a HookedMessageBox function (that will be executed when the original MessageBoxA is called)
  4. Get memory address of the HookedMessageBox
  5. Patch / redirect MessageBoxA to HookedMessageBox
  6. Call MessageBoxACode gets redirected to HookedMessageBox
  7. HookedMessageBox executes its code, prints the supplied arguments, unhooks theMessageBoxA and transfers the code control to the actual MessageBoxA

调试学习:

代码放入VS设为x86(代码下面提供),下好断点

首先弹一个正常消息框,然后往下走,

messageBoxAddress = GetProcAddress(library, "MessageBoxA");获取MessageBoxA的地址 ,可以在反汇编窗口看到。(7518EEA0处)

前六个字节为8b ff 55 8b ec 83,然后下一句

ReadProcessMemory(GetCurrentProcess(), messageBoxAddress, messageBoxOriginalBytes, 6, &bytesRead);

把它存到messageBoxOriginalBytes,相当于保存原来的正常MessageBoxA的内存地址,为了我们待会实验unhook用。

创建一个patch,相当于去hookMessageBoxA

// create a patch "push <address of new MessageBoxA); ret"
  void* hookedMessageBoxAddress = &HookedMessageBox;
  char patch[6] = { 0 };
  memcpy_s(patch, 1, "\x68", 1);
  memcpy_s(patch + 1, 4, &hookedMessageBoxAddress, 4);
  memcpy_s(patch + 5, 1, "\xC3", 1);
    WriteProcessMemory(GetCurrentProcess(), (LPVOID)messageBoxAddress, patch, sizeof(patch), &bytesWritten);

还记得我们的messageBoxAddress变量是存的原MessageBoxA函数的地址

经过如上代码,调用WriteProcessMemory,将前六位换为了68 00 10 D6 00 C3再写入messageBoxAddress

这里代码很清晰,前一位后一位对应两个指令,中间的void* hookedMessageBoxAddress = &HookedMessageBox;HookedMessageBox的地址

查看地址,可以看到,指令相当于:

// push HookedMessageBox memory address onto the stack
push HookedMessageBox
// jump to HookedMessageBox
ret

我们这里为 push 0D6100h,可以验证一下:

HookedMessageBoxfunction

然后最后的一个MessageBoxA(NULL, "hi", "hi", MB_OK);是我们hooking完之后执行的,那么执行后会进入HookedMessageBox,因为已经修改了内存中前六字节的值。通过WriteProcessMemory

可以看到首先是定义好的去输出MessageBoxA的参数,然后下一步就是Unhook了,把我们之前最开始存到messageBoxOriginalBytes的原地址换回到messageBoxAddress,如下图 查看地址时已经变为原地址8b ff 55 8b ec 83,成功unhook

最后调用MessageBoxA

Code

#include "pch.h"
#include <iostream>
#include <Windows.h>
FARPROC messageBoxAddress = NULL;
SIZE_T bytesWritten = 0;
char messageBoxOriginalBytes[6] = {};
int __stdcall HookedMessageBox(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) {
  // print intercepted values from the MessageBoxA function
  std::cout << "Ohai from the hooked function\n";
  std::cout << "Text: " << (LPCSTR)lpText << "\nCaption: " << (LPCSTR)lpCaption << std::endl;
  // unpatch MessageBoxA
  WriteProcessMemory(GetCurrentProcess(), (LPVOID)messageBoxAddress, messageBoxOriginalBytes, sizeof(messageBoxOriginalBytes), &bytesWritten);
  // call the original MessageBoxA
  return MessageBoxA(NULL, lpText, lpCaption, uType);
}
int main()
{
  // show messagebox before hooking
  MessageBoxA(NULL, "hi", "hi", MB_OK);
  HINSTANCE library = LoadLibraryA("user32.dll");
  SIZE_T bytesRead = 0;
  // get address of the MessageBox function in memory
  messageBoxAddress = GetProcAddress(library, "MessageBoxA");
  // save the first 6 bytes of the original MessageBoxA function - will need for unhooking
  ReadProcessMemory(GetCurrentProcess(), messageBoxAddress, messageBoxOriginalBytes, 6, &bytesRead);
  // create a patch "push <address of new MessageBoxA); ret"
  void *hookedMessageBoxAddress = &HookedMessageBox;
  char patch[6] = { 0 };
  memcpy_s(patch, 1, "\x68", 1);
  memcpy_s(patch + 1, 4, &hookedMessageBoxAddress, 4);
  memcpy_s(patch + 5, 1, "\xC3", 1);
  // patch the MessageBoxA
  WriteProcessMemory(GetCurrentProcess(), (LPVOID)messageBoxAddress, patch, sizeof(patch), &bytesWritten);
  // show messagebox after hooking
  MessageBoxA(NULL, "hi", "hi", MB_OK);
  return 0;
}

总结

整个过程去Hook,MessageBoxA这个API,了解了怎么样去Hook Windows API的流程,以及原理。简单来说也可以理解为一种劫持。我们首先要做的是:获取要劫持函数的地址,然后我们在自己组装一个数据结构,数据结构的内容是 执行汇编:把新函数地址拷到寄存器里,然后再jmp到新函数地址位置执行新函数,然后我们把自己组装这个数据结构拷贝到之前获取的需要劫持的函数地址指向的内存的位置,这样当我们再次调用该函数的时候,程序走到函数地址处发现是执行我们刚刚写好的汇编命令,直接jmp到了我们自己定义的函数地址的位置,也就相当于直接运行了我们自己写好的函数地址

,许多AV/EDR也是这样去Hook敏感的API的,这样的话,我们可以用windbg去调试AV程序是怎么注入到我们的程序中检测我们的API调用的,然后找到API的原地址去修改。

二进制小白,哪里写的有问题还请斧正!

文章标签:
API
Windows
C++
关键词:
Windows API
API windows
Windows学习
API学习
1508026077072612
目录
相关文章
yun6853992
|
7月前
|
存储 缓存 网络协议
dpdk课程学习之练习笔记二(arp, udp协议api测试)
dpdk课程学习之练习笔记二(arp, udp协议api测试)
yun6853992
186 0
何雨晨
|
2月前
|
开发框架 .NET API
Windows Forms应用程序中集成一个ASP.NET API服务
Windows Forms应用程序中集成一个ASP.NET API服务
何雨晨
98 9
游客qeoynko2nmbgk
|
3月前
|
网络协议 API Windows
MASM32编程调用 API函数RtlIpv6AddressToString,windows 10 容易,Windows 7 折腾
MASM32编程调用 API函数RtlIpv6AddressToString,windows 10 容易,Windows 7 折腾
游客qeoynko2nmbgk
37 0
牵着猫散步的鼠鼠
|
7月前
|
Kubernetes 安全 API
Kubernetes学习-集群搭建篇(三) Node配置完善和API概述
Kubernetes学习-集群搭建篇(三) Node配置完善和API概述
牵着猫散步的鼠鼠
80 3
Kubernetes学习-集群搭建篇(三) Node配置完善和API概述
1483290837038108
|
5月前
|
存储 API Go
学习gin-vue-admin之创建api和swagger
学习gin-vue-admin之创建api和swagger
1483290837038108
83 0
百锦再@新空间代码工作室
|
5月前
|
JavaScript 前端开发 Java
23 JavaScript学习:验证API
23 JavaScript学习:验证API
百锦再@新空间代码工作室
41 0
yun6853992
|
7月前
|
SQL 关系型数据库 MySQL
Trinitycore学习之windows上用cmake生成vs项目并尝试在windows上启动服务
Trinitycore学习之windows上用cmake生成vs项目并尝试在windows上启动服务
yun6853992
130 0
sumith
|
6月前
|
Windows
逆向学习Windows篇:通过编写函数处理菜单消息
逆向学习Windows篇:通过编写函数处理菜单消息
sumith
40 0
sumith
|
6月前
|
安全 API C++
逆向学习Windows篇:C++中多线程的使用和回调函数的实现
逆向学习Windows篇:C++中多线程的使用和回调函数的实现
sumith
208 0
sumith
|
6月前
|
安全 API Windows
逆向学习Windows篇:文件操作详解
逆向学习Windows篇:文件操作详解
sumith
37 0

热门文章

最新文章

  • 1
    windows azure之创建虚拟机
  • 2
    Windows 2012 R2 Configuration Scripts
  • 3
    [更新]Windows Phone 实现类似“微博”下拉刷新效果
  • 4
    Windows 8实用窍门系列:13.windows 8的文件.文件夹管理---2.文件以及文件夹操作
  • 5
    How-to: 利用Visual Studio升级Windows Phone 7工程
  • 6
    when you start Windows 7: "The Windows Boot Configuration Data file is missing required information"
  • 7
    Windows 8.1 新增控件之 TimePicker
  • 8
    Windows上 IE10 最快,Mac上Chrome 19最快
  • 9
    背水一战 Windows 10 (77) - 控件(控件基类): ContentControl, UserControl, Page
  • 10
    Windows Server 2008 安装
  • 1
    实时计算 Flink版操作报错合集之报错:org.apache.flink.table.api.validationexception如何解决
    513
  • 2
    Java进阶-Java Stream API详解与使用
    60
  • 3
    [译][AI OpenAI-doc] 批处理 API
    89
  • 4
    实时计算 Flink版产品使用合集之在Flink Stream API中,可以在任务启动时初始化一些静态的参数并将其存储在内存中吗
    129
  • 5
    利用Python构建高性能的Web API后端服务
    552
  • 6
    利用Java Stream API实现高效数据处理
    75
  • 7
    Java 8的Stream API和Optional类:概念与实战应用
    177
  • 8
    邮件推送API建议操作方法?AOKSend配置步骤
    190
  • 9
    Email 接口API有哪些?具体分析一下阿里云和AOK的优点
    151
  • 10
    Java 8新特性之Lambda表达式与Stream API
    61

    • 相关电子书

    更多
  • API 平台的安全实践
  • TAKING WINDOWS 10 KERNEL
  • ECS运维指南之Windows系统诊断

    • 相关实验场景

    更多
  • 基于Assistant Api的旅游助手
  • 快速体验智能体API应用
  • 快速配置Windows云服务器
  • 手动搭建FTP站点(Windows)
  • Web Terminal环境使用指南
    • 下一篇
    阿里云对象存储OSS收费标准:存储、流量和请求等多个计费项详解