Windows Hook 易核心编程 API Hook 续 拦截API

悬念

上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新.
这一期我们来谈谈 API HOOK
   API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外
挂,internet通信等领域API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例
如我们用API Hook技术挂接ExitWindowsEx API函数,使关机失效,挂接ZwOpenProcess函
数,隐藏进程等等......

  总的来说,常用的挂钩API方法有以下两种: <一>改写IAT导入表法

   我们知道,Windows下的可执行文档的文件格式是一种叫PE（“portable executable”，可移植
的可执行文件）的文件格式，这种文件格式
是由微软设计的,接下来这张图描述了PE文件的结构:
     +-------------------------------+     - offset 0
     | MS DOS标志("MZ") 和 DOS块     |
     +-------------------------------+     
     |      PE 标志 ("PE")           |
     +-------------------------------+
     |             .text             |     - 模块代码
     |           程序代码            |
     |                               |
     +-------------------------------+
     |             .data             |     - 已初始化的(全局静态)数据
     |          已初始化的数据       |
     |                               |
     +-------------------------------+
     |            .IDAta             |     - 导入函数的信息和数据
     |            导入表             |      
     |                               |
     +-------------------------------+
     |            .edata             |     - 导出函数的信息和数据
     |            导出表             |      
     |                               |
     +-------------------------------+
     |           调试符号            |
     +-------------------------------+

   这里对我们比较重要的是.idata部分的导入地址表(IAT)。这个部分包含了导入的相关信息和导
入函数的地址。有一点很重要的是我们必须知道PE文件是如何创建的。当在编程语言里间接调用任
意API(这意味着我们是用函数的名字来调用它，而不是用它的地址)，编译器并不直接把调用连接到
模块，而是用jmp指令连接调用到IAT，IAT在系统把进程调入内存时时会由进程载入器填满。这就是
我们可以在两个不同版本的Windows里使用相同的二进制代码的原因，虽然模块可能会加载到不同的
地址。进程载入器会在程序代码里调用所使用的IAT里填入直接跳转的jmp指令。所以我们能在IAT里
找到我们想要挂钩的指定函数，我们就能很容易改变那里的jmp指令并重定向代码到我们的地址。完
成之后每次调用都会执行我们的代码了。

   我们通过使用imagehlp.dll里的ImageDirectoryEntryToData来很容易地找到IAT。
  .DLL命令 ImageDirectoryEntryToData, 整数型, "imagehlp", , , 返回IMAGE_IMPORT_DESCRIPTOR数组的首地址
    .参数 Base, 整数型, , 模块句柄
    .参数 MappedAsImage, 逻辑型, , 真
    .参数 DirectoryEntry, 整数型, , 恒量:IMAGE_DIRECTORY_ENTRY_IMPORT,1
    .参数 Size, 整数型, 传址, IMAGE_IMPORT_DESCRIPTOR数组的大小
  .数据类型 IMAGE_IMPORT_DESCRIPTOR, , 输入描述结构
    .成员 OriginalFirstThunk, 整数型, , , 它是一个RVA（32位），指向一个以0结尾的、由IMAGE_THUNK_DATA（换长数据）的RVA构成的数          组，其每个IMAGE_THUNK_DATA（换长数据）元素都描述一个函数。此数组永不改变。
    .成员 TimeDateStamp, 整数型, , , 它是一个具有好几个目的的32位的时间日期戳.
    .成员 ForwarderChain, 整数型, , , 它是输入函数列表中第一个中转的、32位的索引。
    .成员 Name, 整数型, , , 它是一个DLL文件的名称（0结尾的ASCII码字符串）的、32位的RVA。
    .成员 FirstThunk, 整数型, , , 它也是一个RVA（32位），指向一个0结尾的、由IMAGE_THUNK_DATA（换长数据）的RVA构成的数组，其每          个IMAGE_THUNK_DATA（换长数据）元素都描述一个函数。此数组是输入地址表的一部分，并且可以改变。

   如果我们找到了就必须用VirtualProtectEx函数来改变内存页面的保护属性，然后就可以通过
WriteProcessMemory在内存中的这些部分写入代码了。在改写了地址之后我们要把保护属性改回来
。在调用VirtualProtectEx之前我们还要先知道有关页面的信息，这通过VirtualQueryEx来实现。

   这种方法的好处是比较稳定,但有漏API的可能,因为并不是所有的API调用都是通过IAT的,可能易
程序就是这种情况,我当初也是想用这种方法,但是在易里面调试时总不能在IAT里得到正确的程序调
用的API,常常是些无关的API(可能是易的核心支持库在做怪)，不得不放弃.


本来计划中是没有这一章的,但自从我的Windows Hook 易核心编程(3) API Hook发表以来,得到
了广大易友的支持,这种情况很令我感动,于是再接再力,写出了这章,希望没有辜负广大易友对我的
支持与信任,好,废话不多说了,我们言归正转.
  在开始之前,让我们先来回顾一下:
什么叫Hook API？

   所谓Hook就是钩子的意思，而API是指Windows开放给程序员的编程接口，使得在用户级别下可
以对操作系统进行控制，也就是一般的应用程序都需要调用API来完成某些功能，Hook API的意思
就是在这些应用程序调用真正的系统API前可以先被截获，从而进行一些处理再调用真正的API来完
成功能。在讲Hook API之前先来看一下如何Hook消息，例如Hook全局键盘消息，从而可以知道用户
按了哪些键.这种Hook消息的功能可以由以下函数来完成，该函数将一新的Hook加入到原来的Hook
链中，当某一消息到达后会依次经过它的Hook链再交给应用程序,这个在我的Windows Hook 易核心
编程(1)和(2)里有具体的说明和应用,大家可以看一看.
  .DLL命令 api_SetWindowsHookExA, 整数型, , "SetWindowsHookExA"
    .参数 idHook, 整数型, , Hook类型，例如WH_KEYBOARD，WH_MOUSE
    .参数 lpfn, 子程序指针, , 钩子回调函数,Hook处理过程函数的地址,
    .参数 nMod, 整数型, , 包含Hook处理过程函数的dll句柄（若在本进程可以为NULL）
    .参数 dwThreadID, 整数型, , 要Hook的线程ID，若为0，表示全局Hook所有
.DLL命令api_UnhookWindowsHookEx, 逻辑型, , "UnhookWindowsHookEx"
    .参数 hhook, 整数型,要关闭钩子的句柄.
   这里需要提一下的就是如果是Hook全局的而不是某个特定的进程则需要将Hook过程编写为一个
DLL，以便让任何程序都可以加载它来获取Hook过程函数。而对于Hook API微软并没有提供直接的
接口函数，也许它并不想让我们这样做，不过有2种方法可以完成该功能。第一种，修改可执行文
件的IAT表（即输入表），因为在该表中记录了所有调用API的函数地址，则只需将这些地址改为自
己函数的地址即可，但是这样有一个局限，因为有的程序会加壳，这样会隐藏真实的IAT表，从而
使该方法失效。第二种方法是直接跳转，改变API函数的头几个字节，使程序跳转到自己的函数，
然后恢复API开头的几个字节，在调用API完成功能后再改回来又能继续Hook了，但是这种方法也有
一个问题就是同步的问题，当然这是可以克服的，并且该方法不受程序加壳的限制。

   上一章我们就是用的第二种方法,通过直接改写API函数ExitWindowsEx入口点为{195}(即汇编的
返回命令retn),达到关机失效的目地,其实这不算是真正的API HOOK,没有实现自定API函数的功能.
记得我说过,如果要实现自定API函数,可以写入一个跳转指令,JMP OX00000(其中OX00000为自定API
函数地址),最后还给大家留了一道题,就是参照论坛上的教程写出自定API函数的功能,不知道大家
完成的什么样了,呵呵.
   其实,要真正实现API HOOK,用JMP OX00000是不能达到我们的目地的,因为要转移参数,我们先要
mov eax OX00000 ,然后再jmp eax,在易里面用用字节集连起来表示就是:
       { 184 } ＋ 到字节集 (到整数 (&new_api)) ＋ { 255, 224 }
  其中new_api就是新的自定API函数地址,结合上期的内容,我们现在就来解析核心代码:
===================================
.子程序 修改API首地址, 逻辑型
.参数 Process, 整数型, , 目标进程句柄
.参数 Papi, 整数型, , 要修改的API函数地址
.参数 type, 字节集, , 要改写的内容,字节集
.局部变量 mbi, 虚拟信息
.局部变量 结果, 逻辑型
.局部变量 MyAPI, 整数型
.局部变量 Ptype, 字节集
.如果真 (Papi ＝ 0)
    返回 (假)
.如果真结束
.如果真 (返回虚拟信息 (Process, Papi, mbi, 28) ＝ 0)
    返回 (假)
.如果真结束
.如果真 (修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) ＋ 1, #PAGE_EXECUTE_READWRITE, mbi.Protect) ＝ 假)
    返回 (假)
.如果真结束
结果 ＝ 写内存字节 (Process, Papi, type, 取字节集长度 (type), 0)
修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) ＋ 1, #PAGE_EXECUTE_READ, mbi.Protect)  ' 改回只读模式
返回 (结果)
==================================
这个子程序也就是上期用到的,上一期第3个参数是写的{195},这里换成 { 184 } ＋ 到字节集 (到
整数 (&new_api)) ＋ { 255, 224 }就可以了,新的API函数要和原API函数的参数一样,还拿API函
数ExitWindowsEx来说,看下面的新的API函数:
======================================
.子程序 new_api, 整数型, , 新的API函数,要与原来的API函数的参数一样
.参数 标志, 整数型
.参数 保留值, 整数型
' 给自己留条后门先
.如果 (保留值 ＝ 3389)
    HOOKAPI (假)
    api_ExitWindowsEx (标志, 保留值)
.否则
    信息框 (“您的操作已经被易拦截了!” ＋ #换行符 ＋ “ExitWindowsEx” ＋ #换行符 ＋ “参数<1>:” ＋ 到文本 (标志) ＋ #换行符 ＋ “参数<2>:” ＋ 到文本 (保留值), 0, )
.如果结束
返回 (1)
=======================================
  看下面的代码:
.子程序 HOOKAPI, 逻辑型
.参数 是否HOOK, 逻辑型
.局部变量 TYPE, 字节集
.如果 (是否HOOK)
    TYPE ＝ { 184 } ＋ 到字节集 (到整数 (&new_ExitWindowsEx)) ＋ { 255, 224 }
    返回 (修改API首地址(取当前进程伪句柄 (), API, TYPE))
.否则
    返回 (修改API首地址(取当前进程伪句柄 (), API, API_BAK))
当然,改写前,还是要备份和取API函数地址的:
API ＝ 取DLL函数地址 (取程序或DLL句柄 (“user32.dll”), “ExitWindowsEx”)
API_BAK ＝ 指针到字节集 (API, 8)
============================================
  这样,只要一句HOOKAPI(真)就可以轻松改写本进程的API函数,一句HOOKAPI(假)就可以还原API函
数,当然前提是在本进程,因为地址不能跨进程使用,要想挂勾其他进程,我们可以使用我前面提到
的Windows全局消息勾子,为了取得较好的效果,推荐使用WH_GETMSSAGE类的勾子.
  要使用全局消息勾子,先要在一个独立的DLL里声明钩子回调函数,看下面的代码:
============================
.子程序 GetMsgProc, 整数型, 公开, 钩子回调函数
.参数 code, 整数型
.参数 wParam, 整数型
.参数 lParam, 整数型
返回 (api_CallNextHookEx (hhook, code, wParam, lParam))  ' 钩子循环
====================================

主程序通过调用SetWindowsHookEx就可以安装钩子 ,继续看代码;
.子程序 安装全局钩子, 整数型, , 安装全局消息钩子
.参数 DLLPath, 文本型,DLL名
.局部变量 hMod, 整数型
.局部变量 lpProc, 子程序指针
hMod ＝ api_LoadLibraryA (DLLPath)
lpProc ＝ api_GetProcAddress (hMod, “GetMsgProc”)
hook ＝ api_SetWindowsHookExA (#WH_GETMESSAGE, lpProc, hMod, 0)
返回 (hook)
======================================
主程序通过api_UnhookWindowsHookEx(hook)就可以关闭全局钩子.
结合下面的子程序(上期的HOOK_API)便可以还原API.
=============================
.子程序 还原API
.局部变量 i, 整数型
.局部变量 结果, 逻辑型
.局部变量 进程信息, 进程信息输出, , "0"
.局部变量 进程句柄, 整数型
.局部变量 修改内容, 整数型
刷新进程信息 (进程信息) '这个在上期中讲过,我就不重复了.
.计次循环首 (取数组成员数 (进程信息), i)
    进程句柄 ＝ 打开进程 (2035711, 0, 进程信息 [i].进程标识)
    .如果真 (API_BAK ≠ { 0 })
        结果 ＝ 修改API首地址 (进程句柄, API, API_BAK)
    .如果真结束
    关闭内核对象 (进程句柄)
.计次循环尾 ()
===========================
   可以看出，我们创建的Hook类型是WH_CALLWNDPROC类型，该类型的Hook在进程与系统一通信时
就会被加载到进程空间，从而调用dll的初始化函数完成真正的Hook，而在SetWindowsHookEx函数
中指定的HookProc函数将不作任何处理，只是调用CallNextHookEx将消息交给Hook链中下一个环节
处理，因为这里SetWindowsHookEx的唯一作用就是让进程加载我们的dll。
    整个框架就是这样了,具体的就不在细说了.附件里有完整的易源码,大家可以下载下来研究.
以上就是一个最简单的Hook API的例子，该种技术可以完成许多功能。例如网游 制作过程中
截取发送的与收到的封包(API函数send)即可使用该方法，或者也可以在Hook到API后加入木马功能
，反向连接指定的主机或者监听某一端口，还有许多加壳也是用该原理来隐藏IAT表，填入自己的
函数地址,等等.
   希望本文能够对一些朋友有所帮助，当然，一定有许多不足之处，希望看了文章的高手
可以指出:以下程序在Windows XP +sp2和易4.02中测试通过,有什么Bug,请通知我.)



联系我时，请说是在 挂海论坛 上看到的，谢谢！

qqshqq

一个字，强大，呵呵，当然如果有用的话

BruceLee

回复就能得海币，我爱你！

薄荷巧克莉

楼主福如东海，万寿无疆！

Team莫寒

手指点一点，海币就到手，我也是菜鸟大家一起进步啊

symrwl

今日小生得以一见楼主大贴实在是惶恐至急，何否，楼主此贴实在妙哉!

symrwl

今日小生得以一见楼主大贴实在是惶恐至急，何否，楼主此贴实在妙哉!

zxj2645886786

看帖回帖是美德，大家要保持，回帖还可以得积分！

momo511

支持楼主，感谢楼主！