InlineHook 是一種電腦安全編程技術,其原理是在電腦程式執行期間進行攔截、修改、增強現有函數功能。它使用鉤子函數(也可以稱為回調函數)來截獲程式執行的各種事件,併在事件發生前或後進行自定義處理,從而控制或增強程式行為。Hook技術常被用於系統加速、功能增強、等領域。本章將重點講解Hook... ...
InlineHook 是一種電腦安全編程技術,其原理是在電腦程式執行期間進行攔截、修改、增強現有函數功能。它使用鉤子函數(也可以稱為回調函數)來截獲程式執行的各種事件,併在事件發生前或後進行自定義處理,從而控制或增強程式行為。Hook技術常被用於系統加速、功能增強、等領域。本章將重點講解Hook是如何實現的,並手動封裝實現自己的Hook掛鉤模板。
首先我們來探索一下Hook技術是如何實現的,如下圖所示是一個簡單的彈窗程式,當讀者點擊測試彈窗按鈕時則會彈出一個MessageBox提示視窗,本次實現目標很簡單,通過向目標內註入一個DLL庫,實現Hook掛鉤住MessageBox彈窗,從而實現去除彈窗的目的;
我們先來看看如何實現Hook思路;
- 1.調用
GetModuleHandle函數來獲取到user32.dll模塊的基址 - 2.調用
GetProcAddress函數獲取到MessageBoxA彈窗的基址 - 3.調用
VirtualProtect來修改MessageBoxA前5個位元組記憶體屬性 - 4.計算
Dest - MsgBox - 5重定位跳轉地址,並寫入JMP跳轉指令 - 5.計算
Dest + Offset + 5 = MsgBox +5得到需要跳轉回RET的位置 - 6.最後調用
VirtualProtect來將記憶體屬性修改為原始狀態
我們載入帶有MessageBoxA彈窗的程式,然後在x64dbg上按下Ctrl+G輸入MessageBoxA找到我們需要Hook的位置(或者說替換),如下圖所示為了完成彈窗轉向功能,只需要在函數開頭寫入jmp無條件跳轉指令即可,在32位系統中JMP指令預設占用5個位元組,前三條指令恰好5個位元組,為了能夠保持堆棧平衡,我們需要記下前三條指令,併在自己的中轉函數中對其進行補齊。
此外,我們還需要計算出程式的返回地址,使用0x76600BE5 - 0x76600BA0 = 0x45從而得出返回地址就是基址加上0x45,這裡的返回地址其實就是返回到原MessageBoxA彈窗的RET 0x10的位置76600BE6,從這裡可以看出屏蔽彈窗的原理就是通過中轉函數跳過了原始彈窗函數的執行。
由於開頭位置被替換為了我們自己的Transfer()函數,當程式中彈窗被調用時預設會路由到我們自己的函數內,首先執行補齊原函數的替換部分,並執行自定義功能區中的增加內容,當執行結束後則通過jmp ebx的方式跳轉回原函數的ret 0x10的位置處,從而實現增加功能的目的。這裡讀者需要註意__declspec(naked)的意思是不添加任何的彙編修飾,當使用了此修飾符時則編譯器會只編譯我們自己的彙編指令,並不會增加預設的函數開場或離場原語。
__declspec(naked) void Transfer()
{
__asm{
mov edi, edi
push ebp
mov ebp, esp
// 自定義功能區
mov ebx, jump // 取出跳轉地址
jmp ebx // 無條件轉向
}
}
通過應用上述案例中的知識點我們能很容易的實現對彈窗的替換功能,以下代碼中實現了對MessageBoxA彈窗的屏蔽功能,也就是通過跳過彈窗實現流程實現的一種劫持方法,讀者可自行編譯這段DLL程式,但需要註意一點,讀者在編譯DLL時應該關閉DLL的DEP以及ASLR模式,否則會出現無法定位的問題。
#include <Windows.h>
#include <stdio.h>
DWORD jump = 0;
// 不添加任何的彙編修飾
__declspec(naked) void Transfer()
{
__asm
{
mov edi, edi
push ebp
mov ebp, esp
mov ebx, jump // 取出跳轉地址
jmp ebx // 無條件轉向
}
}
// DLL程式入口地址
bool APIENTRY DllMain(HANDLE handle, DWORD dword, LPVOID lpvoid)
{
// 取進程內模塊基址
HMODULE hwnd = GetModuleHandle(TEXT("user32.dll"));
DWORD base = (DWORD)GetProcAddress(hwnd, "MessageBoxA");
DWORD oldProtect = 0;
// 將記憶體設置為可讀可寫可執行狀態,並將原屬性保存在oldProtect方便恢復
if (VirtualProtect((LPVOID)base, 5, PAGE_EXECUTE_READWRITE, &oldProtect))
{
DWORD value = (DWORD)Transfer - base - 5; // 計算出需要Hook的地址
jump = base + 0x45; // 計算出返回地址
// 替換頭部彙編代碼
__asm
{
mov eax, base
mov byte ptr[eax], 0xe9 // e9 = jmp 指令機器碼
inc eax // 遞增指針
mov ebx, value // 需要跳轉到的地址
mov dword ptr[eax], ebx
}
// 恢復記憶體的原始屬性
VirtualProtect((LPVOID)base, 5, oldProtect, &oldProtect);
}
return true;
}
讀者可通過註入軟體將hook.dll動態鏈接庫註入到進程內,此時我們可以再次觀察0x76600BA0位置處的代碼片段,讀者應該能看到已經被JMP替換,如下圖所示;
繼續跟進則讀者能看到,在跳轉指令的下方則是我們自己補齊的彙編指令,此處由於沒有做任何事就被返回了,這就導致當讀者再次點擊彈窗時,彈窗失效;
當我們需要替換程式標題時同樣可是使用該方式實現,一般來說程式設置標題會調用SetWindowTextA函數,我們可以攔截這個函數,並傳入自定義的視窗名稱,從而實現修改指定視窗的標題的目的,代碼只是在上面代碼的基礎上稍微改一下就能實現效果,只要程式使用了該函數設置標題,則可以實現替換的目的;
#include <Windows.h>
#include <stdio.h>
DWORD jump = 0;
// 彙編中轉函數
__declspec(naked) bool _stdcall Transfer(HWND hwnd, LPCSTR lpString)
{
__asm
{
mov edi, edi
push ebp
mov ebp, esp
mov ebx, jump
jmp ebx
}
}
// 自己的設置窗體標題函數
bool __stdcall MySetWindowTextA(HWND hwnd, LPCSTR lpString)
{
char * lpText = "LyShark 修改版";
return Transfer(hwnd, lpText);
}
// DLL程式入口地址
bool APIENTRY DllMain(HANDLE handle, DWORD dword, LPVOID lpvoid)
{
HMODULE hwnd = GetModuleHandle(TEXT("user32.dll"));
DWORD base = (DWORD)GetProcAddress(hwnd, "SetWindowTextA");
DWORD oldProtect = 0;
if (VirtualProtect((LPVOID)base, 5, PAGE_EXECUTE_READWRITE, &oldProtect))
{
DWORD value = (DWORD)MySetWindowTextA - base - 5;
jump = base + 5;
__asm
{
mov eax, base
mov byte ptr[eax], 0xe9
inc eax
mov ebx, value
mov dword ptr[eax], ebx
}
VirtualProtect((LPVOID)base, 5, oldProtect, &oldProtect);
}
return true;
}
本文作者: 王瑞
本文鏈接: https://www.lyshark.com/post/f695c6c3.html
版權聲明: 本博客所有文章除特別聲明外,均採用 BY-NC-SA 許可協議。轉載請註明出處!
文章出處:https://www.cnblogs.com/LyShark/p/17702206.html
本博客所有文章除特別聲明外,均採用 BY-NC-SA 許可協議。轉載請註明出處!
