S.l.e!ep.¢%

像打了激速一样,以四倍的速度运转,开心的工作
简单、开放、平等的公司文化;尊重个性、自由与个人价值;
posts - 1098, comments - 335, trackbacks - 0, articles - 1
  C++博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

Hook Api lib 0.4 for C

Posted on 2010-02-02 22:03 S.l.e!ep.¢% 阅读(605) 评论(0)  编辑 收藏 引用 所属分类: RootKit
【原创】Hook Api lib 0.4 for C
海风月影 当前离线 添加 海风月影 的声望 反映此帖

标 题: 【原创】Hook Api lib 0.4 for C
作 者: 海风月影
时 间: 2008-01-11,13:51
链 接: http://bbs.pediy.com/showthread.php?t=58101

前一段时间,一位朋友提出了GetOpCodeSize计算不正确,小小更新了一下
现在用的是deroko 的LDEX86来取指令长度,比较通俗易懂

Stub也小小更新了一下,完善一些功能

引用:
/*
//////////////////////////////////////////////////////////////////////////
HookApi 0.4

thanks to xIkUg ,sucsor ,deroko

by 海风月影[RCT] , eIcn#live.cn
2008.01.11

//////////////////////////////////////////////////////////////////////////
//更新内容

2008.01.11  0.4
1,修改了HookBeforeStub,可以支持hookproc决定是否需要调用真实API,详见函数定义

2,重新修改了HookBeforeStub() ,和HookAfterStub() ,使得Stub内容更容易理解

2008.01.10
1,重新编写GetOpCodeSize,使用deroko的LdeX86 (Length disassembler engine for X86)
这样比较容易理解

2,增加了函数定义说明与更新历史


2007.12.15
1,更正GetOpCodeSize里面计算的一个小BUG

2007.xx.xx  0.3
1,修改了Stub,使得hookproc可以收到调用API后的返回地址,SetOnAfter还会收到api调用
后的返回值

2007.xx.xx  0.2
1,在xIkUg的delphi版本上修改成了c版本,并支持函数重入


//////////////////////////////////////////////////////////////////////////
SetOnBefore的函数的定义:

DWORD __stdcall MyApi(BYTE* IsCallApi ,DWORD RetAddr ,...);

RetAddr:调用该Api函数的返回地址
IsCallApi:是否需要继续调用真实API
      TRUE表示需要继续调用API
      FALSE表示直接返回
      当*IsCallApi==FALSE的时候,整个函数的返回值会返回给调用的地方
      当*IsCallApi==TRUE的时候,整个函数的返回值会忽略掉

注:由于不是必须调用真实API,因此函数类型必须是 __stdcall,否则会堆栈不平衡

//////////////////////////////////////////////////////////////////////////
SetOnAfter的函数的定义:

DWORD __stdcall MyApi(DWORD Eax ,DWORD RetAddr, ...);

Eax    :调用该Api后的返回值
RetAddr  :调用该Api函数的返回地址

MyApi返回值:返回给调用该api后的返回值
一般情况下可以这样返回:
  return Eax;

*/

上传的附件
文件类型: rar HookAPILib 0.4.rar (6.9 KB, 932 次下载) [谁下载?]

HookAPILib 0[1].4.rar

2 旧 2008-01-11, 17:55 默认
liuzewei 当前离线 添加 liuzewei 的声望 反映此帖

看了下,没怎么看懂。感觉是很好,很强大!呵呵!

GetOpCodeSize()

这个函数很有创意呀。以前也想写一个,根本不知道如何下手```呵呵


9旧 2008-01-13, 18:02 默认
海风月影 当前离线添加 海风月影 的声望反映此帖

引用:
最初由 chunzao1发布查看帖子
各位朋友好!这东东怎么用的啊?谁能分享一下示例程序,老菜将万分感激。
HookApi.cpp里面有个例子

17旧 2008-03-31, 18:48 默认
caocunt 当前离线添加 caocunt 的声望反映此帖


请问你这个hook如何卸载?
能详细解释一下你的例子里的main函数里面的几条语句的含义嘛?
另外那两个stub的含义能一并解释一下嘛?

1,不能卸载,不考虑那个功能,因为可以重入(目前不是线程安全的,以后改进)
2,

//Hook WriteProcessMemory,在调用完WriteProcessMemory时候执行我们的函数My_WriteProcessMemory

  SetOnAfter("Kernel32.dll","WriteProcessMemory",My_WriteProcessMemory);

//hook ReadProcessMemory,在调用ReadProcessMemory前执行我们的函数My_WriteProcessMemory_1
  SetOnBefore("Kernel32.dll","ReadProcessMemory",My_WriteProcessMemory_1);

//下面是正常调用API
  WriteProcessMemory(GetCurrentProcess(), (LPVOID)0x40108f, JMPGate, sizeof(JMPGate), (DWORD*)RetSize);
  
  MessageBoxA(NULL,"Safe Here!!!","Very Good!!",NULL);

引用:
最初由 caocunt发布查看帖子
1.不能卸载的话,那我退出程序,不是HOOK的函数就要出错了嘛?
2.forgot组长,z0mbie的hooklib在何处下载?
程序都退出了,还要Hook干嘛呢?

个人认为,一般来说卸载都是为了反检测,我这个HookLib没有反检测功能,自己随便用用的而已,不要见笑

引用:
最初由 海风月影发布查看帖子
程序都退出了,还要Hook干嘛呢?

个人认为,一般来说卸载都是为了反检测,我这个HookLib没有反检测功能,自己随便用用的而已,不要见笑
我的意思是,假设一个软件A.exe调用了createfile这个函数,我想拦截这个程序对此函数的调用,
那么按照你的写法,我写了一个B.exeexe,里面的主要内容是下面:
SetOnAfter("Kernel32.dll","CreateFileA",My_CreateFileA_After);
  SetOnBefore("Kernel32.dll","CreateFileA",My_CreateFileA_Before);

DWORD __stdcall My_CreateFileA_After(........)
{
记录参数到文件C.txt
}
DWORD __stdcall My_CreateFileA_Before(........)
{
记录参数到文件C.txt
}


运行这个B.exe后,那么系统里所有调用CreateFileA函数的进程或者模块(不仅仅是A.exe)都会被拦截,都会执行我们定义的那2个函数,对吧?
我的问题是:
1.B.exe运行起来后,任何系统中调用createfile的时候都会被记录到c.txt中,即使B.exe退出,也不能终止这种情况,是这样的嘛?
2.这个时候我再重新运行B.exe.会不会再次重复增加我们的代码在上次被HOOK了函数上?




另外,你的代码有两个警告,不知道有问题没?
D:\work\HOOKAPI\HOOKAPI.cpp(343) : warning C4102: 'check_modrm' : unreferenced label
D:\work\HOOKAPI\HOOKAPI.cpp(292) : warning C4101: 'tempopcode' : unreferenced local variable

经过测试,发现几个问题.

1.不能针对同一个函数调用前后HOOK,譬如
int main()
{
  if(!SetOnBefore("Kernel3.dll","DeviceIoControl",DeviceIoControl_Before))
    ::MessageBox(0,"Before","error",0);;
    if(!SetOnAfter("Kernel32.dll","DeviceIoControl",DeviceIoControl_After))
     ::MessageBox(0,"After","error",0);
  DeviceIoControl(0,0,0,0,0,0,0,0);
  return 0;
}
这样会出错,具体看附件的程序,用OD跟踪一下就明白,不知道是否有前后顺序没?



2.HOOK的函数只对本exe的进程空间有效,可以测试的是,开两个OD,一个跟踪这个exe,直到确认已经成功更改要HOOK的函数,然后此时打开另外一个OD,随便调试一个别的程序,会发觉前面HOOK的函数根本没有变化....

3.关于多次调用SetOnBefore或者SetOnAfter函数,此情况跟第一种情况类似,会跑飞代码~~
int main()
{
  if(!SetOnBefore("Kernel3.dll","DeviceIoControl",DeviceIoControl_Before))
    ::MessageBox(0,"Before","error",0);;
  if(!SetOnBefore("Kernel3.dll","DeviceIoControl",DeviceIoControl_Before))
    ::MessageBox(0,"Before","error",0);;
  DeviceIoControl(0,0,0,0,0,0,0,0);
  return 0;
}


以上情况不知道是否跟我机器有关?
我的系统是XPsp2中文版,装有Returnil Virtual System Premium Edition Beta  V2.1.0.5829,并且系统(C盘)处于保护模式.
此外没有安装任何别的主动防疫或者杀毒软件.
请作者多多改进~~

上传的附件
文件类型: rarhookapidemo.rar (7.8 KB, 21 次下载) [谁下载?]


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理