如何在一个WinAPI挂钩中创建一个Hook和Trampolinefunction
所以我一直在学习钩子和使用trampolines的概念,以绕过/执行WinAPI钩子函数中的数据(在不同的可执行文件中,使用DLL注入)。 到目前为止,我知道如何使用程序集和C的混合物来制作它(蹦床和钩子),但我似乎不能只使用C来做,因为我似乎缺少一些东西。 如果有人能告诉我我做错了什么以及如何修复它,我会很感激。
现在我的代码:
#include unsigned char* address = 0; __declspec(naked) int __stdcall MessageBoxAHookTrampoline(HWND Window, char* Message, char* Title, int Type) { __asm { push ebp mov ebp, esp mov eax, address add eax, 5 jmp eax } } int __stdcall MessageBoxAHook(HWND Window, char* Message, char* Title, int Type) { wchar_t* WMessage = L"Hooked!"; wchar_t* WTitle = L"Success!"; MessageBoxW(0, WMessage, WTitle, 0); return MessageBoxAHookTrampoline(Window, Message, Title, Type); } unsigned long __stdcall Thread(void* Context) { address = (unsigned char*)GetProcAddress(LoadLibraryA("user32"), "MessageBoxA"); ULONG OP = 0; if (VirtualProtect(address, 1, PAGE_EXECUTE_READWRITE, &OP)) { memset(address, 0x90, 5); *address = 0xE9; *(unsigned long*)(address + 1) = (unsigned long)MessageBoxAHook - (unsigned long)address - 5; } else { MessageBoxA(0, "Failed to change protection", "RIP", 0); } return 1; } // Entry point. BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) { if (fdwReason == DLL_PROCESS_ATTACH) { CreateThread(0, 0, Thread, 0, 0, 0); } else if (fdwReason == DLL_PROCESS_DETACH) { } return true; } 所以问题是:我如何创建一个函数说
InstallHook将安装钩子并返回一个蹦床,以便我可以轻松使用它? 函数原型可能是:void* InstallHook(void* originalFunc, void* targetFunc, int jumpsize),或者我理解在线阅读,但不确定将使用jumpsize。
到目前为止,我知道必须保留和恢复前5个字节,然后跳转到原始钩子函数的地址。 所以我必须使用malloc来分配内存,memcpy来复制字节, 0xE9是跳转指令的值等等,但我只是不知道如何使用纯C实现它。 我想它会类似于这个问题中的代码。 那么如何编写一个使用纯C for WinAPI函数返回trampoline的钩子函数呢?
如果我正确地理解了这个问题,你想避免在assembly中“硬编码”蹦床function,大概是这样你可以同时使用多个蹦床而不重复代码。 您可以使用VirtualAlloc实现此目的( malloc将无法工作,因为返回的内存将不可执行)。
我从内存中写了这个,无法访问编译器,所以它可能有一些小错误,但一般的想法就在这里。 通常你也会使用VirtualProtect在你修改它之后将页面权限更改为rx而不是rwx ,但为了简单起见,我把它留了下来:
void *CreateTrampoline(void *originalFunc) { /* Allocate the trampoline function */ uint8_t *trampoline = VirtualAlloc( NULL, 5 + 5, /* 5 for the prologue, 5 for the JMP */ MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); /* Make trampoline executable */ /* Copy the original function's prologue */ memcpy(trampoline, originalFunc, 5); /* JMP rel/32 opcode */ trampoline[5] = 0xE9; /* JMP rel/32 operand */ uint32_t jmpDest = (uint32_t)originalFunc + 5; /* Skip original prologue */ uint32_t jmpSrc = (uint32_t)trampoline + 10; /* Starting after the JMP */ uint32_t delta = jmpDest - jmpSrc; memcpy(trampoline + 6, &delta, 4); return trampoline; }
然后,您的InstallHook函数将调用CreateTrampoline来创建一个trampoline,然后使用JMP rel/32将原始函数的前5个字节修补到您的钩子。
请注意,这只适用于WinAPI函数,因为Microsoft要求它们有一个5字节的序言来启用热补丁(这就是你在这里所做的)。 普通函数没有这个要求 – 通常它们只是以push ebp; mov ebp, esp开头push ebp; mov ebp, esp push ebp; mov ebp, esp只有3个字节(如果编译器决定优化它,有时甚至不行)。
编辑:这是数学的工作原理:
_______________delta______________ | | trampoline | originalFunc | | | | | v | vv [prologue][jmp delta] [prologue][rest of func] |________||_________| |________| 5 + 5 5