前言 在說C# Hook之前,我們先來說說什麼是Hook技術。相信大家都接觸過外掛,不管是修改游戲客戶端的也好,盜取密碼的也罷,它們都是如何實現的呢? 實際上,Windows平臺是基於事件驅動機制的,整個系統都是通過消息的傳遞來實現的。當進程有響應時(包括響應滑鼠和鍵盤事件),則Windows會嚮應 ...
前言
在說C# Hook之前,我們先來說說什麼是Hook技術。相信大家都接觸過外掛,不管是修改游戲客戶端的也好,盜取密碼的也罷,它們都是如何實現的呢?
實際上,Windows平臺是基於事件驅動機制的,整個系統都是通過消息的傳遞來實現的。當進程有響應時(包括響應滑鼠和鍵盤事件),則Windows會嚮應用程式發送一個消息給應用程式的消息隊列,應用程式進而從消息隊列中取出消息併發送給相應視窗進行處理。
而Hook則是Windows消息處理機制的一個平臺,應用程式可以在上面設置子程以監視指定視窗的某種消息,而且所監視的視窗可以是其他進程所創建的。當消息到達後,在目標視窗處理函數之前處理它。鉤子機制允許應用程式截獲處理window消息或特定事件。
所以Hook就可以實現在鍵盤/滑鼠響應後,視窗處理消息之前,就對此消息進行處理,比如監聽鍵盤輸入,滑鼠點擊坐標等等。某些盜號木馬就是Hook了指定的進程,從而監聽鍵盤輸入了什麼內容,進而盜取賬戶密碼。
C# Hook
我們知道C#是運行在.NET平臺之上,而且是基於CLR動態運行的,所以只能操作封裝好的函數,且無法直接操作記憶體數據。而且在C#常用的功能中,並未封裝Hook相關的類與方法,所以如果用C#實現Hook,必須採用調用WindowsAPI的方式進行實現。
WindowsAPI函數屬於非托管類型的函數,我們在調用時必須遵循以下幾步:
1、查找包含調用函數的DLL,如User32.dll,Kernel32.dll等。
2、將該DLL載入到記憶體中,並註明入口
3、將所需參數轉化為C#存在的類型,如指針對應Intptr,句柄對應int類型等等
4、調用函數
我們本篇需要使用的函數有以下幾個:
SetWindowsHookEx 用於安裝鉤子
UnhookWindowsHookEx 用於卸載鉤子
CallNextHookEx 執行下一個鉤子
詳細API介紹請參考MSDN官方聲明
接下來在C#中需要首先聲明此API函數:
[DllImport("user32.dll",CharSet=CharSet.Auto,CallingConvention=CallingConvention.StdCall)]
public static extern int SetWindowsHookEx(int idHook, HookProc lpfn,IntPtr hInstance, int threadId);
[DllImport("user32.dll",CharSet=CharSet.Auto,CallingConvention=CallingConvention.StdCall)]
public static extern bool UnhookWindowsHookEx(int idHook);
[DllImport("user32.dll",CharSet=CharSet.Auto,CallingConvention=CallingConvention.StdCall)]
public static extern int CallNextHookEx(int idHook, int nCode,IntPtr wParam, IntPtr lParam);
聲明後即可實現調用,SetWindowsHookEx()把一個應用程式定義的鉤子子程安裝到鉤子鏈表中,SetWindowsHookEx函數總是在Hook鏈的開頭安裝Hook子程。當指定類型的Hook監視的事件發生時,系統就調用與這個Hook關聯的Hook鏈的開頭的Hook子程。每一個Hook鏈中的Hook子程都決定是否把這個事件傳遞到下一個Hook子程。Hook子程傳遞事件到下一個Hook子程需要調用CallNextHookEx函數。 且鉤子使用完成後需要調用UnhookWindowsHookEx進行卸載,否則容易影響到其他鉤子的執行,並且鉤子太多會影響目標進程的正常運行。
關於實例詳細操作過程不再贅述,請參考:http://blog.csdn.net/ensoo/article/details/2045101 及 https://www.cnblogs.com/ceoliujia/archive/2010/05/20/1740217.html
EasyHook
C#本身調用WindowsAPI進行Hook功能受到很大的限制,而C++則不受此限制,因此就有一些聰明的人想到了聰明的方法:使用C++將基本操作封裝成庫,由C#進行調用,由此誕生了偉大的EasyHook,它不僅使用方便,而且開源免費,還支持64位版本。
接下來我們一起使用C#操作EasyHook來實現一個Demo,完成對MessageBox的改寫。
首先我們建立一個WinForm項目程式,並添加一個類庫ClassLibrary1,再從官網https://easyhook.github.io/或Nuget獲取到dll後引用到我們的項目中,註意:32位和64位版本都需要引用,建立項目如圖所示:
其中WinForm程式用於獲取目標進程,並對目標進程進行註入,相關步驟如下:
1、根據進程ID獲取相關進程,並判斷是否為64位;
2、將所需DLL註冊到GAC(全局程式集緩存),註冊到GAC的目的是需要在目標進程中調用EasyHook及我們所編寫的DLL;
private bool RegGACAssembly()
{
var dllName = "EasyHook.dll";
var dllPath = Path.Combine(AppDomain.CurrentDomain.BaseDirectory, dllName);
if (!RuntimeEnvironment.FromGlobalAccessCache(Assembly.LoadFrom(dllPath)))
{
new System.EnterpriseServices.Internal.Publish().GacInstall(dllPath);
Thread.Sleep(100);
}
dllName = "ClassLibrary1.dll";
dllPath = Path.Combine(AppDomain.CurrentDomain.BaseDirectory, dllName);
new System.EnterpriseServices.Internal.Publish().GacRemove(dllPath);
if (!RuntimeEnvironment.FromGlobalAccessCache(Assembly.LoadFrom(dllPath)))
{
new System.EnterpriseServices.Internal.Publish().GacInstall(dllPath);
Thread.Sleep(100);
}
return true;
}
此處需要註意,要將自己編寫的類庫DLL加入GAC,需要對DLL進行強簽名操作,操作方法請參考:https://docs.microsoft.com/zh-cn/dotnet/framework/app-domains/how-to-sign-an-assembly-with-a-strong-name
3、註入目標進程,此處需使用EasyHook的RemoteHooking.Inject()方法進行註入:
private static bool InstallHookInternal(int processId)
{
try
{
var parameter = new HookParameter
{
Msg = "已經成功註入目標進程",
HostProcessId = RemoteHooking.GetCurrentProcessId()
};
RemoteHooking.Inject(
processId,
InjectionOptions.Default,
typeof(HookParameter).Assembly.Location,
typeof(HookParameter).Assembly.Location,
string.Empty,
parameter
);
}
catch (Exception ex)
{
Debug.Print(ex.ToString());
return false;
}
return true;
}
HookParameter類為定義在ClassLibrary1中的一個類,包含消息與進程ID:
[Serializable]
public class HookParameter
{
public string Msg { get; set; }
public int HostProcessId { get; set; }
}
到這一步我們就完成了對主窗體代碼的編寫,現在我們開始編寫註入DLL的方法:
1、先引入MessageBox相關的WindowsAPI:
#region MessageBoxW
[DllImport("user32.dll", EntryPoint = "MessageBoxW", CharSet = CharSet.Unicode)]
public static extern IntPtr MessageBoxW(int hWnd, string text, string caption, uint type);
[UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode)]
delegate IntPtr DMessageBoxW(int hWnd, string text, string caption, uint type);
static IntPtr MessageBoxW_Hooked(int hWnd, string text, string caption, uint type)
{
return MessageBoxW(hWnd, "已註入-" + text, "已註入-" + caption, type);
}
#endregion
#region MessageBoxA
[DllImport("user32.dll", EntryPoint = "MessageBoxA", CharSet = CharSet.Ansi)]
public static extern IntPtr MessageBoxA(int hWnd, string text, string caption, uint type);
[UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Ansi)]
delegate IntPtr DMessageBoxA(int hWnd, string text, string caption, uint type);
static IntPtr MessageBoxA_Hooked(int hWnd, string text, string caption, uint type)
{
return MessageBoxA(hWnd, "已註入-" + text, "已註入-" + caption, type);
}
#endregion
其中MessageBoxA與MessageBoxW是微軟用於區分不同操作系統中的編碼類型,早期的Windows並不屬於真正的32位操作系統,執行的API函數屬於ANSI類型,而從Windows2000開始,屬於Unicode類型,Windows在實際操作中,調用的MessageBox會自動根據平臺區分使用前者還是後者,我們在這裡就需要把二者都包含其中。
而DMessageBoxA與DMessageBoxW屬於IntPtr類型的委托,用於我們在Hook函數之後傳入我們需要修改的方法,此處我們改變了MessageBox的內容和標題,分別在首碼加上了"已註入-"的標記。
2、完成定義之後我們就需要對函數進行Hook,此處使用LocalHook.GetProcAddress("user32.dll", "MessageBoxW")函數,通過指定的DLL與函數名,獲取函數在實際記憶體中的地址,獲取到之後,傳入LocalHook.Create()方法,用於創建本地鉤子:
public void Run(
RemoteHooking.IContext context,
string channelName
, HookParameter parameter
)
{
try
{
MessageBoxWHook = LocalHook.Create(
LocalHook.GetProcAddress("user32.dll", "MessageBoxW"),
new DMessageBoxW(MessageBoxW_Hooked),
this);
MessageBoxWHook.ThreadACL.SetExclusiveACL(new int[1]);
MessageBoxAHook = LocalHook.Create(
LocalHook.GetProcAddress("user32.dll", "MessageBoxA"),
new DMessageBoxW(MessageBoxA_Hooked),
this);
MessageBoxAHook.ThreadACL.SetExclusiveACL(new int[1]);
}
catch (Exception ex)
{
MessageBox.Show(ex.Message);
return;
}
try
{
while (true)
{
Thread.Sleep(10);
}
}
catch
{
}
}
其中MessageBoxWHook與MessageBoxAHook均為LocalHook類型的變數,MessageBoxAHook.ThreadACL.SetExclusiveACL(new int[1]); 這句代碼用於將本地鉤子加入當前線程中執行。
運行之後我們來查看Hook的效果,先打開一個測試窗體,彈出MessageBox,這時候MessageBox沒有標題,且內容是正常的:
接著我們對目標進程進行註入,獲取進程ID後點擊註入,提示已經成功註入目標進程:
此時點擊目標進程MessageBox,可以發現已經Hook成功,並改變了內容和標題:
至此,C#調用EasyHook對目標進程Hook已經實現。
後記
從這次實踐中我們可以感受到,C#對程式進行Hook是完全可行的,雖然不能直接操作記憶體和地址,但是我們可以通過操作WindowsAPI與使用EasyHook的方式完成,尤其是後者,大大減少了代碼數量與使用難度。
但是EasyHook目前中文資料非常少,我在使用的過程中也遇到了很大困難,Hook其他函數的方法也未能完全實現,希望能夠集思廣益,與大家共同思考交流!
本人剛研究Hook時間不久,文中難免出現紕漏,懇請各位評論指正。
源代碼已經上傳至百度網盤:鏈接: https://pan.baidu.com/s/1wyin9Ezn6AwFQlQxMenQeg 密碼: dv9b
