如何为 WinAPI 挂钩制作 Hook 和 Trampoline 函数

Question

所以我一直在学习挂钩和使用蹦床的概念，以便 bypass/execute WinAPI 挂钩函数中的数据（在不同的可执行文件中，使用 DLL 注入）。到目前为止，我知道如何使用汇编和 C 的混合来制作它（蹦床和挂钩），但我似乎无法仅使用 C 来完成它，因为我似乎遗漏了一些东西。如果有人能告诉我我做错了什么以及如何解决它，我将不胜感激。

现在我的代码：

#include <Windows.h>

unsigned char* address = 0;

__declspec(naked) int __stdcall MessageBoxAHookTrampoline(HWND Window, char* Message, char* Title, int Type) {
    __asm
    {
        push ebp
        mov ebp, esp
        mov eax, address
        add eax, 5
        jmp eax
    }
}

int __stdcall MessageBoxAHook(HWND Window, char* Message, char* Title, int Type) {
    wchar_t* WMessage = L"Hooked!";
    wchar_t* WTitle = L"Success!";
    MessageBoxW(0, WMessage, WTitle, 0);
    return MessageBoxAHookTrampoline(Window, Message, Title, Type);
}

unsigned long __stdcall Thread(void* Context) {
    address = (unsigned char*)GetProcAddress(LoadLibraryA("user32"), "MessageBoxA");
    ULONG OP = 0;
    if (VirtualProtect(address, 1, PAGE_EXECUTE_READWRITE, &OP)) {
        memset(address, 0x90, 5);
        *address = 0xE9;
        *(unsigned long*)(address + 1) = (unsigned long)MessageBoxAHook - (unsigned long)address - 5;
    }
    else {
        MessageBoxA(0, "Failed to change protection", "RIP", 0);
    }
    return 1;
}

// Entry point.
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
    if (fdwReason == DLL_PROCESS_ATTACH) {
        CreateThread(0, 0, Thread, 0, 0, 0);
    }
    else if (fdwReason == DLL_PROCESS_DETACH) {

    }
    return true;
}

So question is: How would I make a function say InstallHook that will install the hook and return a trampoline so I can use it easily? Function prototype probably would be: void* InstallHook(void* originalFunc, void* targetFunc, int jumpsize), or so I've understood reading online, but unsure what jumpsize would be used for.

到目前为止我知道前5个字节必须保留和恢复，然后跳转到原来的钩子函数的地址。所以我不得不使用 malloc 来分配内存，memcpy 来复制字节，0xE9 是跳转指令的值等等，但我只是不知道如何仅使用纯 C 来实现它。 I figure it would be something similar to the code in this question. 那么我如何编写一个钩子函数，returns 一个使用纯 C 语言实现 WinAPI 函数的蹦床？

Answer 1

如果我对问题的理解正确，您想避免 "hard-coding" 汇编中的 trampoline 函数，大概这样您就可以同时使用多个 trampoline 而无需重复代码。您可以使用 VirtualAlloc 实现此目的（malloc 将不起作用，因为返回的内存将不可执行）。

我凭记忆写了这篇文章，没有访问编译器，所以它可能有一些小错误，但总体思路就在这里。通常你也会使用 VirtualProtect 将页面权限更改为 r-x 而不是 rwx ，一旦你完成修改它，但为了简单起见我将其省略：

void *CreateTrampoline(void *originalFunc)
{
    /* Allocate the trampoline function */
    uint8_t *trampoline = VirtualAlloc(
        NULL,
        5 + 5, /* 5 for the prologue, 5 for the JMP */
        MEM_COMMIT | MEM_RESERVE,
        PAGE_EXECUTE_READWRITE); /* Make trampoline executable */

    /* Copy the original function's prologue */
    memcpy(trampoline, originalFunc, 5);

    /* JMP rel/32 opcode */
    trampoline[5] = 0xE9;

    /* JMP rel/32 operand */
    uint32_t jmpDest = (uint32_t)originalFunc + 5; /* Skip original prologue */
    uint32_t jmpSrc = (uint32_t)trampoline + 10; /* Starting after the JMP */
    uint32_t delta = jmpDest - jmpSrc;
    memcpy(trampoline + 6, &delta, 4);

    return trampoline;
}

您的 InstallHook 函数随后只需调用 CreateTrampoline 来创建一个蹦床，然后用 JMP rel/32 将原始函数的前 5 个字节修补到您的钩子上。

请注意，这仅适用于 WinAPI 函数，因为 Microsoft 要求它们有一个 5 字节的序言以启用热修补（这就是您在此处所做的）。普通函数没有这个要求——通常它们只以 push ebp; mov ebp, esp 开头，只有 3 个字节（有时甚至没有，如果编译器决定优化它的话）。

编辑：数学是这样计算的：

                          _______________delta______________
                         |                                  |
trampoline               |                  originalFunc    |
    |                    |                        |         |
    v                    |                        v         v
    [prologue][jmp delta]                         [prologue][rest of func]
    |________||_________|                         |________|
         5    +    5                                   5