9月21日,,郁闷了一天,,该死的hook

最新推荐文章于 2005-05-25 18:38:00 发布
原创 最新推荐文章于 2005-05-25 18:38:00 发布 · 1.1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#hook #descriptor #null #module #basic
#import
博客围绕Windows API Hook展开,作者尝试Hook未成功,对相关程序进行注释并分析。介绍了APIHOOK32_ENTRY结构体,详细阐述了_SetApiHookUp、SetWindowsAPIHook、UnhookWindowsAPIHooks等函数的实现,还给出了示例代码,包含对MessageBoxA函数的Hook和取消Hook操作。

还是没弄会,,连日记也没心情写,,看了pe的文章,,<<箴言>>里的程序都没注释,,梁这不是打自己嘴巴子么?也不替我们这样的新手考虑考虑,,写书干嘛呀,,难道就让我知道这些你早逗会了??  哎,,发啥牢骚啊,,毕竟自己从梁大哥那里学了不少 :)  今天hook还是没成功,,已经是第2中方法了,,把他的程序给做了遍注释,,程序倒是理解了,,可不成功的原因没找到,,,估计自己还算不上理解 :(


#include "stdio.h"
#include "windows.h"
#include "imagehlp.h"
#include "tlhelp32.h"

#pragma comment(lib,"imagehlp.lib")
#pragma comment(lib,"kernel32.lib")

typedef struct _APIHOOK32_ENTRY
{
 LPCTSTR  pszAPINAme;
 LPCTSTR  pszCAllerModuleNAme;
 PROC  pfnOriginApiAddress;
 PROC  pfnDummyFuncAddress;
 HMODULE  hModCAllerModule;
}APIHOOK32_ENTRY,*PAPIHOOK32_ENTRY;

BOOL _SetApiHookUp(PAPIHOOK32_ENTRY phk)
{
 PIMAGE_THUNK_DATA pThunk;
 ULONG    size;
 
//每个IMAGE_IMPORT_DESCRIPTOR代表一个DLL,这里的 pImportDesc 为NULL是表示遍历了所有的引入的DLL
 PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(
           phk->hModCAllerModule ,
           TRUE,
           IMAGE_DIRECTORY_ENTRY_IMPORT,
           &size);

 if (pImportDesc == NULL){
  return FALSE;
 }

//遍历DLL,,第一层循环
 for(;pImportDesc->Name ;pImportDesc++){
  //这里不理解,,为什么要把pImportDesc->NAme和phk->hModCAllerModule加起来
  //IMAGE_DESCRIPTOR中的NAme是一个RVA指向一个ASCII字符串,是dll的名字,,那下面这句就更不理解了
  PSTR pszDllNAme = (LPSTR)((PBYTE)phk->hModCAllerModule + pImportDesc->Name );////哈哈,,单步时这里果然和我想的一样,,加上基址后变为虚拟地址,,然后,,比如这次把 其值就是 0x77ebcd79 "NTDLL.DLL"
  //这样比较肯定不相等了啊
  //找到相等的后 :(
  if (strcmp(pszDllNAme,phk->pszCAllerModuleNAme )==0) break;
 }
//看是否真的找到了
 if (pImportDesc->Name == NULL){
  return FALSE;
 }
//IMAGE_IMPORT_DESCRIPTOR结构里的FirstThunk指向一个DWORD数组,每个DWORD都是一个RVA,是输入函数的入口地址,这个数组可以叫输入地址表
 //现在关键是弄清楚phk->hModCAllerModule到底是个什么???????????????????????????
 //大概是这样吧,,phk->hModCAllerModule是个HMODULE类型,,也许是通过它把RVA变成真实的虚拟地址吧,,它起了个加载基址的作用,,
 //哎 不知道对不对,,看看它的值才知道
 pThunk = (PIMAGE_THUNK_DATA)((PBYTE)phk->hModCAllerModule + pImportDesc->FirstThunk );//IAT

//现在开始是第2层循环  IMAGE_THUNK_DATA 结构如下
//* typedef struct _IMAGE_THUNK_DATA32 {
//*    union {
//*        PBYTE  ForwarderString;
//*        PDWORD Function;
//*        DWORD Ordinal;
//*        PIMAGE_IMPORT_BY_NAME  AddressOfData;
//*    } u1;
//* } IMAGE_THUNK_DATA32;
//*typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;
 //这里不懂,,PThunk指向一个DWORD数组,在遍历时应该用pThunk++吗?好象也可以,,但自己不清楚,,
 //因为pThunk里面就一个u1,pThunk->u1.Function++等于pThunk++吗??????????
 for (;pThunk->u1 .Function ;pThunk++){

  PROC* ppfn = (PROC*)&pThunk->u1 .Function ;
//做比较,,看是否是要找的函数,,如果是,,就把地址改写
  if(*ppfn == phk->pfnOriginApiAddress ){
   WriteProcessMemory(GetCurrentProcess(),
        ppfn,
        &(phk->pfnDummyFuncAddress),
        sizeof(phk->pfnDummyFuncAddress ),
        NULL);
   return TRUE;
  }
 }
 return TRUE;
}
//------------------------------------------------------------------------------
BOOL SetWindowsAPIHook(PAPIHOOK32_ENTRY phk)
{
 //The MEMORY_BASIC_INFORMATION structure contains information about a range of pages
 //in the virtual address space of a process. The VirtualQuery and VirtualQueryEx
 // functions use this structure  :)

//*typedef struct _MEMORY_BASIC_INFORMATION { // mbi
//*    PVOID BaseAddress;            // base address of region
//*    PVOID AllocationBase;         // allocation base address
//*    DWORD AllocationProtect;      // initial access protection
//*    DWORD RegionSize;             // size, in bytes, of region
//*    DWORD State;                  // committed, reserved, free
//*    DWORD Protect;                // current access protection
//*    DWORD Type;                   // type of pages
//*} MEMORY_BASIC_INFORMATION;
//*typedef MEMORY_BASIC_INFORMATION *PMEMORY_BASIC_INFORMATION;
 MEMORY_BASIC_INFORMATION mInfo;

 HMODULE  hModHookDll;
 HANDLE  hSnApShot;
 BOOL  bOk;

//Describes an entry from a list that enumerates the modules used by a specified process.
//*typedef struct tagMODULEENTRY32 {
//*    DWORD   dwSize;
//*    DWORD   th32ModuleID;
//*    DWORD   th32ProcessID;
//*    DWORD   GlblcntUsage;
//*    DWORD   ProccntUsage;
//*    BYTE  * modBaseAddr;
//*    DWORD   modBaseSize;
//*    HMODULE hModule;
//*    char    szModule[MAX_MODULE_NAME32 + 1];
//*    char    szExePath[MAX_PATH];
//*} MODULEENTRY32;
//*typedef MODULEENTRY32 *  PMODULEENTRY32;
//*typedef MODULEENTRY32 *  LPMODULEENTRY32;
 MODULEENTRY32 me = {sizeof(MODULEENTRY32)};

 if (phk->pszAPINAme == NULL||phk->pszCAllerModuleNAme == NULL
  ||phk->pfnOriginApiAddress == NULL){
  return FALSE;
 }
//如果phk->hModCAllerModule 是 NULL 的话,,表示hook自己??还得往下看才知道 :)
 if (phk->hModCAllerModule == NULL){

  //取得从_SetApiHookUp地址开始的一个页面的信息
  VirtualQuery(_SetApiHookUp,&mInfo,sizeof(mInfo));
  //得到函数_SetApiHookUp的地址
  hModHookDll = (HMODULE)mInfo.AllocationBase ;///我靠! 没错,,逗是基址 单步的时候看到这里是0x00400000
//快照,,以前在pslist里用过的 :)
  //TH32CS_SNAPMODULE Includes the module list of the specified process in the snapshot.
  //还好,,:) 是在指定进程内的
  hSnApShot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,0);
  //找到一个了 :)
  //这个循环看上去很疯狂啊
  //只要不是自己所在的MODULE,全都给_SetApiHookUp一遍,,但全是本进程的
  //me.hModule是Handle to the module in the context of the owning process.
  //那它是不是地址呢???????如果不是的话,,那上边的那个问题怎么解决???
  //(pThunk = (PIMAGE_THUNK_DATA)((PBYTE)phk->hModCAllerModule + pImportDesc->FirstThunk );)
  bOk = Module32First(hSnApShot,&me);////单步时,,me.hModule是0x00400000 恩,,基址,,没错
  while(bOk){
   if (me.hModule != hModHookDll){  ////单步时 第一次me.hModule和hModHookDll都是0x00400000可能这时是同一个Module,第2次就不一样了,,开始是本进程中的其他Module了 :)
    phk->hModCAllerModule = me.hModule ;
    _SetApiHookUp(phk);
   }
   bOk = Module32Next(hSnApShot,&me);
  }
  phk->hModCAllerModule = NULL;
  return FALSE;
 }else{
  //如果指定了phk->hModCAllerModule的话,,就不会随便_SetApiHookUp
  return _SetApiHookUp(phk);
 }
 return FALSE;
}
//------------------------------------------------------------------------------
BOOL UnhookWindowsAPIHooks(PAPIHOOK32_ENTRY lpHk)
{
 //整个一个逆过程 :) pfnOriginApiAddress 和 pfnDummyFuncAddress调个个儿
 PROC temp;
 temp = lpHk->pfnOriginApiAddress ;
 lpHk->pfnOriginApiAddress = lpHk->pfnDummyFuncAddress ;
 lpHk->pfnDummyFuncAddress = temp;
 return SetWindowsAPIHook(lpHk);
}
//------------------------------------------------------------------------------
//保存原地址
PROC lpAdder = MessageBoxA;
int WINAPI MyMessAgeBoxA(HWND hWnd,LPCTSTR lpText,LPCTSTR lpCAption,UINT uType)
{
 return lpAdder(NULL,"new","new",MB_OK);
}
//------------------------------------------------------------------------------
int main(void)
{
 //哈哈 终于开始啦
 APIHOOK32_ENTRY pe;
 pe.pszAPINAme    = "MessageBoxA";
 pe.pszCAllerModuleNAme  = "USER32.DLL";//区分大小写
 pe.pfnOriginApiAddress  = MessageBoxA;
 pe.pfnDummyFuncAddress  = MyMessAgeBoxA;
 pe.hModCAllerModule   = NULL;

 //lpAdder = MessageBoxA;

 SetWindowsAPIHook(&pe);
 MessageBox(NULL,"old","old",MB_OK);

 UnhookWindowsAPIHooks(&pe);
 MessageBox(NULL,"old","old",MB_OK);
}
//------------------------------------------------------------------------------

结构类型(PROCESSENTRY32)08.10.31
commonness
10-31 2326
PROCESSENTRY32 当一个快照建立后,PROCESSENTRY32描述了在系统地址空间中一系列进程中的一条。 typedef struct tagPROCESSENTRY32 { DWORD dwSize; DWORD cntUsage; DWORD th32ProcessID; ULONG_PTR th32DefaultHeapID; DWORD th32M
int 2e进内核
uuty的专栏
04-05 5453
一直很奇怪为啥ntdll里的 int 2e是咋进入内核的,不是说中断在ring 3下都不能用的吗? 可这样ntdll不也不中了? 回头用个程序一试 int 0x2e 果然没事,没出错,,int 0x20 就会出错,但出错的具体过是cpu的事,用sice也只是显示错在那一条,后来在书上找到了(linux的书 ...)Makes sure the interrupt was issued by an
3月12hook NAtive API
uuty的专栏
03-12 4689
undocument 上的那段hook nAtive Api的太多也太复杂了,自己先hook个简单的,想hook一个nAtive Api,记录下调用这个API的进程的id,并返给user-mode程序,再调用真正的APi ,现在实现了第一步,hook住了,并能给扯下来,而不蓝屏(就这么屁大点儿的事儿弄了一下午,蓝了n次),下一步就是怎样在ring 0下申请下一快空间,记录id,并在user-mod
2月20 msdn中的ginA例子中的WlxLoggedOutSAS
uuty的专栏
02-20 4277
登陆的部分发生在WlxLoggedOutSAS在msdn里的例子ginA例子里,WlxLoggedOutSAS中首先调用 result = pWlxFuncs->WlxDialogBoxParam(  hGlobalWlx,                                            hDllInstance,                               
5月11,关于snmp的一些东西
uuty的专栏
05-11 3370
先是几个自己比较需要的oidMIB  BRIDGE-MIBName  dot1dTpFdbAddressiso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dTp.dot1dTpFdbTable.dot1dTpFdbEntry.dot1dTpFdbAddressOID  1.3.6.1.2.1.17.4.3.1.1Type  MacAddressUnit
2月8,GINA&WINLOGON的一点东西
uuty的专栏
02-08 3233
2:10了,,哈,现在是大年三十了,uty给您拜年了!msginA.dll似乎很复杂,光导入的函数就特别多,msdn的两个sAmple,一个完全就是显示调用msginA.dll的导出函数,记得D8有一个后门就是在这个过程中开个端口,其实我总觉得这样似乎就不算是GINA后门了,,另一个sAmple还没看呢 :-|在privAte/windows/ginA/winlogon/ginAmgr.c中//*
how to program using ROCKWELL's Voice/Fax/Data
uuty的专栏
05-24 3177
This document describes how to program using ROCKWELLs Voice/Fax/Datachipset. The Zoltrix 14,400bps Fax/14,400 Modem with voice uses this chipset.This document was converted to text using BitFa
4月22,,,一个改注册表DACL的小程序
uuty的专栏
04-22 3169
就这么个小东西,一共弄了2天半!! 当然也加上中间去学习object和DACL什么的,以前虽然看过,,可书看了一遍就只有忘的份儿,,必须要有应用,要有学习的欲望,,无聊的书会变的很好读,,,,     感受就是不要放弃和要细心,,,如果开始时通过RegOpenKey得到的hKey来改DACL不成功的时候就算了的话,,也就真的算了,,,,虽然不是什么大事,,但提醒着自己无论多大或多小的事都可以试试再
4月5,学习shellcode,用peb找函数地址
uuty的专栏
04-05 2892
虽然最后事情的结果很郁闷,但中间的过程还是有些收获的,在编shellcode的时候,很重要的就是要找到要用的函数在内存中的位置,网上有很多写好的模板,方法就是通过peb和SEH找,找到的模板是用peb的。主要目的就是找到kernel.dll在内存中的位置,进而找到GetProcAddress()的位置,有了这两个,就可以有LoAdLibrAry(),然后其他的函数地址问题就都解决了FS:0是teb
5月18,,终于把linux0.11安到一台真正的pc上了
uuty的专栏
05-20 2700
 靠,这个任务可真长,拖拖拉拉的快几个月了,,中间停下来学别的去了就把linux的事放下了,,直到见到了RAlf Brown Interrupt List,,,不过这次装的结果怎样,自己的目的始终就是学习linux,,下一步就是要更多更努力的学习,,还有网络部分,争取把linux1.0的网络部分安到0.11上 :>我感谢下午的自己没像往常那么懒,,拆机箱把硬盘由slAve换到mAster,其实l
2月5,学Driver
uuty的专栏
02-05 2684
其实也不是想学驱动,主要是要在ring 0 下的程序,都是通过驱动实现的.找了几本驱动的电子书,给自己看晕了,http://www.driverdevelop.com/forum/ 这里很好,很多高手windows的驱动好几种,9x下的Vxd,和nt下的KMD,和现在的WDM,kmd说是nt4的时候用的,,用汇编,,我在网上找了份英文的TutoriAl,需要用kmd develop kits,,
9月24,,哈哈,郁闷,终于明白啦,,,总结hook!!
uuty的专栏
09-25 2684
我靠,,这回可是我进段时间来郁闷最长的时间了,,不知道几天了,天天连着看,,连着找,,连着问,,到是强迫自己对pe格式和汇编有了进一些的认识,,,也是件好事 :)  最后终于还是自己没能解决,,是vchelp里的一个叫哑巴英语的大哥帮的忙,,改了程序,,感谢他!!! 自己目前对Module的概念还是不清楚,, 现在回头来看梁肇新书中和windows核心编程中的程序,,windows核心编程的意思是
2月11 pte,pde
uuty的专栏
02-11 2375
kd> !pte               VA 00000000PDE at   C0300000        PTE at C0000000contains 0E474067      contains 00000000pfn e474 ---DA--UWEV虚拟地址0x00000000的pte在虚拟地址0xc0000000,pde在虚拟地址0xc0300000,因为每个pte映射一个页面
2月22 随机变量的分布函数
uuty的专栏
02-22 2302
随机变量的分布函数的作用挺不好理解,,在网上找了一段: 定义2.1.2 设 是一个随机变量, 是任意实数,函数     称为 的分布函数。  分布函数 具有如下性质:  (1) 。  (2) 单调不减,即若 。  (3) 右连续,是指它在任意 处的右极限存在且等于 ,即 。  反之,具有以上三个性质的函数,一定是某个随机变量的分布函数。  (4) 。  (1)引入随机变量的
5月18,,,我的第一个linux内核模块
uuty的专栏
05-20 2094
郁闷了3天,,,开始是MAkefile不会弄,,连个helloworld都编译不成.o,,后来在网上看到了一份,,拿来主义了,,最主要的的就是include的路径要是在内核源码里的include目录,这样才能编出和当前内核版本一样的module来,然后说是要-O2,这样才可以把一些内嵌的函数给加进去CC = gccCINCLU = /usr/src/linux-2.4/includeCFLAGES
5月25 关于modem
uuty的专栏
05-25 1843
任务进展并不大今天用电脑控制modem接电话的时候建立起了语音连接来电后,发ATA接电话,这时候和电脑连的电话也把话机摘下来,再发+++,进入命令mode,这时候就可以通话了,不摘记不行,会自动挂段,,读进声音文件.wAv,,发到串口,对方电话并不能听到,相反,串口到接到一些数据,不知道是什么,可能并没有用处,再ATH,就挂断了.当ATA接听后,是发出去协商的tone的,我想这时并不能语音通话,,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值