VC进程相关的学习(四)(API截获)
2010-08-21 16:02
441 查看
0 PE文件(.exe)
a 一开始是一段Dos程序,就是那个“必须运行在XXX环境”的警告头(IMAGE_DOS_SIGNATURE)。
b 接着这个DOS头,首先是IMAGE_NT_HEADER,都是一些PE文件信息,在它的尾端是Data Directory数据表,能快速决定PE的段(section)地址。
c 下来是IMAGE_SECTION_HEADER的列表,记录着每一个段的信息。
d 再下来就是段数据,执行代码,数据资源那些东东了。
这些东西会放在地址0x400000的地方,就是Histance的值,程序开始的位置。
在这些段里,有一个".idata"段(输入数据段),该地方有着IAT,加载的DLL的API都在这里,大概像这个样子:
JWP DWORD PTR [XXXXXXXXX]
或者
CALL DWORD PTR [XXXXXXXXX]
这里面的XXXXXXXX,就是系统API所在的位置,所以我们要做的就是,把XXXXXXXX改成我们的函数地址,执行完我们的函数再杀回来就好了。
导入地址表(IAT):Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE文件被装入内存的时候,Windows装载器才将DLL装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成,其中导入地址表就指示函数实际地址。
1 程序指令内存空间的写入
因为指令空间有Windows的保护,不能直接指针指过去修改,需要如下操作
2 查找DLL模块的IAT
3 查找IAT中的函数
4 使用范例
5 注意:通过IE测试发现,此种方法只能获取用Depneds看到在上面加载的DLL,而后来加载的,以及DLL加载的DLL都是无法获得的。
a 一开始是一段Dos程序,就是那个“必须运行在XXX环境”的警告头(IMAGE_DOS_SIGNATURE)。
b 接着这个DOS头,首先是IMAGE_NT_HEADER,都是一些PE文件信息,在它的尾端是Data Directory数据表,能快速决定PE的段(section)地址。
c 下来是IMAGE_SECTION_HEADER的列表,记录着每一个段的信息。
d 再下来就是段数据,执行代码,数据资源那些东东了。
这些东西会放在地址0x400000的地方,就是Histance的值,程序开始的位置。
在这些段里,有一个".idata"段(输入数据段),该地方有着IAT,加载的DLL的API都在这里,大概像这个样子:
JWP DWORD PTR [XXXXXXXXX]
或者
CALL DWORD PTR [XXXXXXXXX]
这里面的XXXXXXXX,就是系统API所在的位置,所以我们要做的就是,把XXXXXXXX改成我们的函数地址,执行完我们的函数再杀回来就好了。
导入地址表(IAT):Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE文件被装入内存的时候,Windows装载器才将DLL装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成,其中导入地址表就指示函数实际地址。
1 程序指令内存空间的写入
因为指令空间有Windows的保护,不能直接指针指过去修改,需要如下操作
void MyHook::_writeProcessMemorySystem(LPVOID pDec, LPVOID pSrc, UINT nLength)
{
MEMORY_BASIC_INFORMATION mbi_thunk;
VirtualQuery(pDec, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION)); // 查询页信息
VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, PAGE_READWRITE, &mbi_thunk.Protect); // 改变页的保护信息为读写
memcpy(pDec, pSrc, nLength);
DWORD dwOldProtect;
VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, mbi_thunk.Protect, &dwOldProtect); // 恢复保护属性
}2 查找DLL模块的IAT
PIMAGE_IMPORT_DESCRIPTOR MyHook::_locationIAT(string strImportMod)
{
// 检查是否为DOS程序,DOS程序没有IAT
PIMAGE_DOS_HEADER pDosHeader = static_cast<PIMAGE_DOS_HEADER>(_handle);
if(pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
{
return NULL;
}
// 检查是否为NT程序
PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + (DWORD)(pDosHeader->e_lfanew));
if(pNTHeader->Signature != IMAGE_NT_SIGNATURE)
{
return NULL;
}
// 检查是否有IAT
if(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress == 0)
{
return NULL;
}
// 定位第一个IAT
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pDosHeader + (DWORD)(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress));
while(pImportDesc->Name)
{
// 如果有名字,获取其名字
PSTR szCurrMod = (PSTR)((DWORD)pDosHeader + (DWORD)(pImportDesc->Name));
if(stricmp(szCurrMod, strImportMod.c_str()) == 0)
{
// 找到了就停下来
break;
}
pImportDesc++;
}
if(pImportDesc->Name == NULL)
{
return NULL;
}
return pImportDesc;
}3 查找IAT中的函数
OOL MyHook::hookAPIByName(std::string strImportMod, MyHook::HOOKAPI *pHookApi)
{
_handle = g_hInstance;
if(_state == MYHOOK_NULL)
{
return FALSE;
}
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = _locationIAT(strImportMod);
if(pImportDesc == NULL)
{
return FALSE;
}
PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((DWORD)_handle + (DWORD)(pImportDesc->OriginalFirstThunk)); // 第一个THUNK
PIMAGE_THUNK_DATA pRealThunk = (PIMAGE_THUNK_DATA)((DWORD)_handle + (DWORD)(pImportDesc->FirstThunk)); // 第一个IAT的THUNK
// 查找IAT,替换函数
while(pOrigThunk->u1.Function)
{
// 检查此THUNK是否为IAT项
if((pOrigThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG)
{
// 获取此IAT的函数名
PIMAGE_IMPORT_BY_NAME pByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)_handle + (DWORD)(pOrigThunk->u1.AddressOfData));
if(pByName->Name[0] == '/0')
{
return FALSE;
}
// 检测是否为所找的函数
if(stricmp(pHookApi->strFunctionName.c_str(), (char*)pByName->Name) == 0)
{
if(pHookApi->pOldFunc != NULL)
{
pHookApi->pOldFunc = (PROC)pRealThunk->u1.Function;
}
_writeProcessMemorySystem((LPVOID)&(pRealThunk->u1.Function), (LPVOID)&(pHookApi->pNewFunc), sizeof(DWORD));
Funs[pHookApi->strFunctionName] = *pHookApi;
}
}
pOrigThunk++;
pRealThunk++;
}
SetLastError(ERROR_SUCCESS);
return TRUE;
}4 使用范例
typedef int(WINAPI *Mb)(HWND, LPCSTR, LPCSTR, UINT);
static int WINAPI MessageBoxA1(HWND hWnd, LPCSTR p1, LPCSTR p2, UINT uType)
{
Mb func = (Mb)(MyHook::instance().Funs["MessageBoxA"].pOldFunc);
return func(hWnd, "HOOK", "HOOK", uType);
}
VARIANT_BOOL STDMETHODCALLTYPE CMyRock::OnMouseClick(IHTMLEventObj* _pEvtObj)
{
// IHTMLEventObj里包括了当前所有操作信息,具体按F1吧
// 如果VARIANT_FALSE将忽略此事件
MyHook::HOOKAPI api;
api.strFunctionName = std::string("MessageBoxA");
api.pNewFunc = (PROC)MessageBoxA1;
MyHook::instance().hookAPIByName("user32.dll", &api);
MessageBoxA(NULL, "1111111111111111", "1111111111111111111", 0);
return VARIANT_TRUE;
}5 注意:通过IE测试发现,此种方法只能获取用Depneds看到在上面加载的DLL,而后来加载的,以及DLL加载的DLL都是无法获得的。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- VC进程相关的学习(五)(API截获完美版)
- VC进程相关的学习(六)(Detours的使用)
- VC进程相关的学习(二)(钩子基础)
- VC进程相关的学习(一)(查找进程和内存读取)
- VC进程相关的学习(七)(简单的进程变速方法)
- VC进程相关的学习(三)(模拟键盘鼠标)
- 看了孙鑫老师的vc视频,今天又在大侠的blog里,即http://blog.csdn.net/hbyufan/ 中发现有相关笔记,转贴学习
- Java学习,数组的相关操作,封装类,Class类,反射API
- 孙鑫VC学习笔记:第十七讲 (三) 用命名管道实现进程间的通信
- 相关API学习网址
- (二)学习seajs模块定义和模块引用相关API
- linux学习 linux进程相关
- 修改进程占用内存SetProcessWorkingSetSize函数(多篇相关文章值得学习)
- Openresty 学习笔记(二)Nginx Lua 正则表达式相关API
- 进程学习相关整理
- VC浏览器相关的学习(八)(截获IE网络访问)
- VC学习资料收集(26):截获流经本机网卡的IP数据包
- VC相关学习笔记
- input子系统学习笔记一 软件设计流程及相关API