如何为 WinAPI 挂钩制作 Hook 和 Trampoline 函数
How to make a Hook and Trampoline function in one for WinAPI hooking
所以我一直在学习挂钩和使用蹦床的概念,以便 bypass/execute WinAPI 挂钩函数中的数据(在不同的可执行文件中,使用 DLL 注入)。到目前为止,我知道如何使用汇编和 C 的混合来制作它(蹦床和挂钩),但我似乎无法仅使用 C 来完成它,因为我似乎遗漏了一些东西。如果有人能告诉我我做错了什么以及如何解决它,我将不胜感激。
现在我的代码:
#include <Windows.h>
unsigned char* address = 0;
__declspec(naked) int __stdcall MessageBoxAHookTrampoline(HWND Window, char* Message, char* Title, int Type) {
__asm
{
push ebp
mov ebp, esp
mov eax, address
add eax, 5
jmp eax
}
}
int __stdcall MessageBoxAHook(HWND Window, char* Message, char* Title, int Type) {
wchar_t* WMessage = L"Hooked!";
wchar_t* WTitle = L"Success!";
MessageBoxW(0, WMessage, WTitle, 0);
return MessageBoxAHookTrampoline(Window, Message, Title, Type);
}
unsigned long __stdcall Thread(void* Context) {
address = (unsigned char*)GetProcAddress(LoadLibraryA("user32"), "MessageBoxA");
ULONG OP = 0;
if (VirtualProtect(address, 1, PAGE_EXECUTE_READWRITE, &OP)) {
memset(address, 0x90, 5);
*address = 0xE9;
*(unsigned long*)(address + 1) = (unsigned long)MessageBoxAHook - (unsigned long)address - 5;
}
else {
MessageBoxA(0, "Failed to change protection", "RIP", 0);
}
return 1;
}
// Entry point.
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
CreateThread(0, 0, Thread, 0, 0, 0);
}
else if (fdwReason == DLL_PROCESS_DETACH) {
}
return true;
}
So question is: How would I make a function say InstallHook that will install the hook and return a trampoline so I can use it easily?
Function prototype probably would be: void* InstallHook(void* originalFunc, void* targetFunc, int jumpsize), or so I've understood reading online, but unsure what jumpsize would be used for.
到目前为止我知道前5个字节必须保留和恢复,然后跳转到原来的钩子函数的地址。所以我不得不使用 malloc 来分配内存,memcpy 来复制字节,0xE9 是跳转指令的值等等,但我只是不知道如何仅使用纯 C 来实现它。 I figure it would be something similar to the code in this question. 那么我如何编写一个钩子函数,returns 一个使用纯 C 语言实现 WinAPI 函数的蹦床?
如果我对问题的理解正确,您想避免 "hard-coding" 汇编中的 trampoline 函数,大概这样您就可以同时使用多个 trampoline 而无需重复代码。您可以使用 VirtualAlloc 实现此目的(malloc 将不起作用,因为返回的内存将不可执行)。
我凭记忆写了这篇文章,没有访问编译器,所以它可能有一些小错误,但总体思路就在这里。通常你也会使用 VirtualProtect 将页面权限更改为 r-x 而不是 rwx ,一旦你完成修改它,但为了简单起见我将其省略:
void *CreateTrampoline(void *originalFunc)
{
/* Allocate the trampoline function */
uint8_t *trampoline = VirtualAlloc(
NULL,
5 + 5, /* 5 for the prologue, 5 for the JMP */
MEM_COMMIT | MEM_RESERVE,
PAGE_EXECUTE_READWRITE); /* Make trampoline executable */
/* Copy the original function's prologue */
memcpy(trampoline, originalFunc, 5);
/* JMP rel/32 opcode */
trampoline[5] = 0xE9;
/* JMP rel/32 operand */
uint32_t jmpDest = (uint32_t)originalFunc + 5; /* Skip original prologue */
uint32_t jmpSrc = (uint32_t)trampoline + 10; /* Starting after the JMP */
uint32_t delta = jmpDest - jmpSrc;
memcpy(trampoline + 6, &delta, 4);
return trampoline;
}
您的 InstallHook 函数随后只需调用 CreateTrampoline 来创建一个蹦床,然后用 JMP rel/32 将原始函数的前 5 个字节修补到您的钩子上。
请注意,这仅适用于 WinAPI 函数,因为 Microsoft 要求它们有一个 5 字节的序言以启用热修补(这就是您在此处所做的)。普通函数没有这个要求——通常它们只以 push ebp; mov ebp, esp 开头,只有 3 个字节(有时甚至没有,如果编译器决定优化它的话)。
编辑:数学是这样计算的:
_______________delta______________
| |
trampoline | originalFunc |
| | | |
v | v v
[prologue][jmp delta] [prologue][rest of func]
|________||_________| |________|
5 + 5 5
所以我一直在学习挂钩和使用蹦床的概念,以便 bypass/execute WinAPI 挂钩函数中的数据(在不同的可执行文件中,使用 DLL 注入)。到目前为止,我知道如何使用汇编和 C 的混合来制作它(蹦床和挂钩),但我似乎无法仅使用 C 来完成它,因为我似乎遗漏了一些东西。如果有人能告诉我我做错了什么以及如何解决它,我将不胜感激。
现在我的代码:
#include <Windows.h>
unsigned char* address = 0;
__declspec(naked) int __stdcall MessageBoxAHookTrampoline(HWND Window, char* Message, char* Title, int Type) {
__asm
{
push ebp
mov ebp, esp
mov eax, address
add eax, 5
jmp eax
}
}
int __stdcall MessageBoxAHook(HWND Window, char* Message, char* Title, int Type) {
wchar_t* WMessage = L"Hooked!";
wchar_t* WTitle = L"Success!";
MessageBoxW(0, WMessage, WTitle, 0);
return MessageBoxAHookTrampoline(Window, Message, Title, Type);
}
unsigned long __stdcall Thread(void* Context) {
address = (unsigned char*)GetProcAddress(LoadLibraryA("user32"), "MessageBoxA");
ULONG OP = 0;
if (VirtualProtect(address, 1, PAGE_EXECUTE_READWRITE, &OP)) {
memset(address, 0x90, 5);
*address = 0xE9;
*(unsigned long*)(address + 1) = (unsigned long)MessageBoxAHook - (unsigned long)address - 5;
}
else {
MessageBoxA(0, "Failed to change protection", "RIP", 0);
}
return 1;
}
// Entry point.
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
CreateThread(0, 0, Thread, 0, 0, 0);
}
else if (fdwReason == DLL_PROCESS_DETACH) {
}
return true;
}
So question is: How would I make a function say
InstallHookthat will install the hook and return a trampoline so I can use it easily? Function prototype probably would be:void* InstallHook(void* originalFunc, void* targetFunc, int jumpsize), or so I've understood reading online, but unsure whatjumpsizewould be used for.
到目前为止我知道前5个字节必须保留和恢复,然后跳转到原来的钩子函数的地址。所以我不得不使用 malloc 来分配内存,memcpy 来复制字节,0xE9 是跳转指令的值等等,但我只是不知道如何仅使用纯 C 来实现它。 I figure it would be something similar to the code in this question. 那么我如何编写一个钩子函数,returns 一个使用纯 C 语言实现 WinAPI 函数的蹦床?
如果我对问题的理解正确,您想避免 "hard-coding" 汇编中的 trampoline 函数,大概这样您就可以同时使用多个 trampoline 而无需重复代码。您可以使用 VirtualAlloc 实现此目的(malloc 将不起作用,因为返回的内存将不可执行)。
我凭记忆写了这篇文章,没有访问编译器,所以它可能有一些小错误,但总体思路就在这里。通常你也会使用 VirtualProtect 将页面权限更改为 r-x 而不是 rwx ,一旦你完成修改它,但为了简单起见我将其省略:
void *CreateTrampoline(void *originalFunc)
{
/* Allocate the trampoline function */
uint8_t *trampoline = VirtualAlloc(
NULL,
5 + 5, /* 5 for the prologue, 5 for the JMP */
MEM_COMMIT | MEM_RESERVE,
PAGE_EXECUTE_READWRITE); /* Make trampoline executable */
/* Copy the original function's prologue */
memcpy(trampoline, originalFunc, 5);
/* JMP rel/32 opcode */
trampoline[5] = 0xE9;
/* JMP rel/32 operand */
uint32_t jmpDest = (uint32_t)originalFunc + 5; /* Skip original prologue */
uint32_t jmpSrc = (uint32_t)trampoline + 10; /* Starting after the JMP */
uint32_t delta = jmpDest - jmpSrc;
memcpy(trampoline + 6, &delta, 4);
return trampoline;
}
您的 InstallHook 函数随后只需调用 CreateTrampoline 来创建一个蹦床,然后用 JMP rel/32 将原始函数的前 5 个字节修补到您的钩子上。
请注意,这仅适用于 WinAPI 函数,因为 Microsoft 要求它们有一个 5 字节的序言以启用热修补(这就是您在此处所做的)。普通函数没有这个要求——通常它们只以 push ebp; mov ebp, esp 开头,只有 3 个字节(有时甚至没有,如果编译器决定优化它的话)。
编辑:数学是这样计算的:
_______________delta______________
| |
trampoline | originalFunc |
| | | |
v | v v
[prologue][jmp delta] [prologue][rest of func]
|________||_________| |________|
5 + 5 5