Windows上HooK技术X86X64版本：Windows上HooK技术X86X64版本

威哥 2023-03-13 22:06:23 409

Windows上HooK技术X86X64版本：Windows上HooK技术X86X64版本其中：原来的程序中的test.exe调用myprintf 现在我们要实现不编译源代码test.exe和test_dll源代码的前提下（你懂的，破解软件都是拿不到源代码的）让test.exe去调用MyPrintf_new。二．Hook技术的实现1）需求分析Hook的基本流程

hook技术应用广泛，如热补丁升级技术，API劫持，软件破解等，是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理，实现方法，同时送上demo实例。

一. HOOK技术的基本原理

Windows上HooK技术X86X64版本：Windows上HooK技术X86X64版本(1)

HOOK的基本原理

Hook技术的原理的:就是修改程序的运行时PC指针，让程序跳到我们指定的代码中运行，运行完我们的程序，程序PC指针又回到原来程序的下一条指令。简而言之：就篡改程序的运行路径，来执行我们的程序。

二．Hook技术的实现

1）需求分析

Windows上HooK技术X86X64版本：Windows上HooK技术X86X64版本(2)

Hook的基本流程

原来的程序中的test.exe调用myprintf 现在我们要实现不编译源代码test.exe和test_dll源代码的前提下（你懂的，破解软件都是拿不到源代码的）让test.exe去调用MyPrintf_new。

其中：

test_dll的实现：

intMyPintf(intd) { printf("hello thisistest testvalueis%d\n" d); returnd 1; }

test.exe的实现：

int_tmain(intargc _TCHAR*argv[]) { intd=0; d=MyPintf(2); printf("d%d\n" d); getchar(); return0; }

我们目标要实现main函数调用MyPintf_new

intMyPintf_new(intd) { printf("hello thisismyhooktest testvalueis%d\n" d); returnd 10; }

其中MyPintf_new我们在hook_dll中实现。

2）关键代码的实现

在hook_dll加载时篡改MyPintf的跳转指令。

其中

GetApiEntrance（）备份原来的跳转指令，构造新函数的跳转指令。

HookOn()用于改写进程空间中目标函数的跳转指令

HookOff()用于还原进程空间中目标函数的跳转指令

voidGetApiEntrance() { //获取原API入口地址 HMODULEhmod=::GetModuleHandle(L"test_dll.dll"); OldFun=(fun)::GetProcAddress(hmod "MyPintf"); pfOldFun=(FARPROC)OldFun; if(pfOldFun==NULL) { printf("获取原API入口地址出错"); return; } //OldFun(88); #ifndefWIN64 //将原API的入口前5个字节代码保存到OldCode[] _asm { leaedi OldCode//获取OldCode数组的地址放到edi movesi pfOldFun//获取原API入口地址，放到esi cld//方向标志位，为以下两条指令做准备 movsd//复制原API入口前4个字节到OldCode数组 movsb//复制原API入口第5个字节到OldCode数组 } NewCode[0]=0xe9;//实际上0xe9就相当于jmp指令 //获取MyPintf_new的相对地址为Jmp做准备 //intnAddr=UserFunAddr–SysFunAddr-（我们定制的这条指令的大小）; //JmpnAddr; //（我们定制的这条指令的大小）这里是5，5个字节嘛 //BYTENewCode[5]; _asm { leaeax MyPintf_new//获取我们的MyPintf_new函数地址 movebx pfOldFun//原系统API函数地址 subeax ebx//intnAddr=UserFunAddr–SysFunAddr subeax 5//nAddr=nAddr-5 movdwordptr[NewCode 1] eax//将算出的地址nAddr保存到NewCode后面4个字节 //注：一个函数地址占4个字节 } #else //JMP_X64(OldCode pfOldFun NewCode); #endif //填充完毕，现在NewCode[]里的指令相当于JmpMyPintf_new //既然已经获取到了JmpMyMessageBoxW //现在该是将JmpMyMessageBoxW写入原API入口前5个字节的时候了 //知道为什么是5个字节吗？ //Jmp指令相当于0xe9 占一个字节的内存空间 //MyMessageBoxW是一个地址，其实是一个整数，占4个字节的内存空间 //intn=0x123;n占4个字节和MyPintf_new占4个字节是一样的 //1 4=5，知道为什么是5个字节了吧 HookOn(); } //开启钩子的函数 voidHookOn() { #ifdefWIN64 //todoit #else DWORDdwPid=::GetCurrentProcessId(); //printf("pid%d\n" dwPid); hProcess=OpenProcess(PROCESS_ALL_ACCESS 0 dwPid); assert(hProcess!=NULL); //printf("HookOnnow hProcess%d\n" hProcess); DWORDdwTemp=0; DWORDdwOldProtect; //修改API函数入口前5个字节为jmpxxxxxx VirtualProtectEx(hProcess pfOldFun 5 PAGE_READWRITE &dwOldProtect); WriteProcessMemory(hProcess pfOldFun NewCode 5 0); VirtualProtectEx(hProcess pfOldFun 5 dwOldProtect &dwTemp); #endif printf("HookOnend\n"); } //关闭钩子的函数 voidHookOff() { #ifdefWIN64 //todoit #else assert(hProcess!=NULL); DWORDdwTemp=0; DWORDdwOldProtect; //恢复API函数入口前5个字节 VirtualProtectEx(hProcess pfOldFun 5 PAGE_READWRITE &dwOldProtect); WriteProcessMemory(hProcess pfOldFun OldCode 5 0); VirtualProtectEx(hProcess pfOldFun 5 dwOldProtect &dwTemp); #endif } 4）使用工具将hook_dll.dll打进test.exe导入表，让test.exe拉起hook_dll.dll。这样test.exe启动时就能加载hook_dll.dll，同时调用GetApiEntrance完成hook的初始化。

三结果演示

原始的test.exe 演示效果

Windows上HooK技术X86X64版本：Windows上HooK技术X86X64版本(3)