Inline Hook(ring3) 简单源码
很久之前写的,练手之用。#include <stdio.h>
#include <windows.h>
#include <psapi.h>
#pragma comment(lib, "psapi.lib")
//BYTE Org_Code; // 备份dll法, 因此就可以不需要
BYTE New_Code;
HMODULE hDllHandle = NULL; // 被 Hook 的 DLL 句柄
HANDLE hProcess = NULL; // 进程句柄
LPVOID _MessageBoxA = NULL; // MessageBoxA() 原地址
DWORD _ShowMessage = NULL; // 自定义函数地址
void InlineHook();
//void UnInlineHook(); // 备份dll法, 因此就可以不需要
void BackupDll();
// 自定义函数
int WINAPI ShowMessage(HWND, LPTSTR, LPTSTR, UINT);
void main()
{
hProcess = ::GetCurrentProcess();
hDllHandle = ::LoadLibrary("user32.dll");
if (hDllHandle == NULL)
return;
_MessageBoxA = (LPVOID)::GetProcAddress(hDllHandle, "MessageBoxA");
if (_MessageBoxA == NULL)
return;
BackupDll();
InlineHook();
char szText;
char szTitle;
memset(szText, 0x0, sizeof(szText));
memset(szTitle, 0x0, sizeof(szTitle));
//////////////////////////////////////////////////////
// 下列循环接收来自于用户输入的字符, 并使用 MessageBoxA()
//来显示, 尝试下, 看看发生了什么. :)
while (TRUE)
{
printf("Message Text: ");
scanf("%s", szText);
printf("Message Title: ");
scanf("%s", szTitle);
MessageBoxA(NULL, szText, szTitle, 0);
printf("\n");
}
return;
}
void InlineHook()
{
DWORD _JmpAddr = (DWORD)ShowMessage;
// 构造新头部代码
New_Code = 0xB8; //
memcpy(&New_Code, &_JmpAddr, 4); // mov eax, _JmpAddr
New_Code = 0xFF; //
New_Code = 0xE0; // jmp eax
DWORD dwOldProtect = 0;
// 去内存保护
::VirtualProtect(_MessageBoxA, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);
//////////////////////////////////////////////////////
// 把新代码写入 MessageBoxA() 的头部, 这也是Inline Hook
//的核心所在.
::WriteProcessMemory(
hProcess,
_MessageBoxA,
New_Code,
sizeof(New_Code),
NULL
);
// 写内存保护
::VirtualProtect(_MessageBoxA, 7, dwOldProtect, &dwOldProtect);
return;
}
/*
void UnInlineHook() // 备份dll法, 因此就可以不需要
{
return;
}
*/
int WINAPI ShowMessage(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType)
{
typedef int WINAPI SHOWMSG(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType);
SHOWMSG *pShowMsg = (SHOWMSG*)_ShowMessage;
//////////////////////////////////////////
// 废弃原先传入的参数, 自己定义对话框文本
char buf;
::wsprintf(buf, "The Text:“%s” was hacked by miku_fl", lpText);
return pShowMsg(hWnd, buf, lpTitle, MB_ICONINFORMATION | MB_TOPMOST);
}
void BackupDll()
{
MODULEINFO Mdl_Info;
LPVOID lpNewDLL = NULL;
// 获取模块信息
::GetModuleInformation(hProcess, hDllHandle, &Mdl_Info, sizeof(Mdl_Info));
/////////////////////////////////////////////////////////////////////
// 分配内存空间, 用于备份 dll (这样一来就不需要恢复原头部代码, 调用
//完之后再重新写自定义的头部代码).
lpNewDLL = ::VirtualAllocEx(
hProcess,
NULL,
Mdl_Info.SizeOfImage,
MEM_COMMIT,
PAGE_EXECUTE_READWRITE
);
if (lpNewDLL == NULL)
return;
// 在分配的内存中写入 dll 文件的内容
::WriteProcessMemory(hProcess, lpNewDLL, Mdl_Info.lpBaseOfDll, Mdl_Info.SizeOfImage, NULL);
/////////////////////////////////////////////////////////
// 计算自定义函数的地址.
// 公式: 自定义地址 = 原API函数地址 - 模块基址 + 分配内存的基址
_ShowMessage = (DWORD)_MessageBoxA - (DWORD)Mdl_Info.lpBaseOfDll + (DWORD)lpNewDLL;
return;
}
代码里用了备份dll的方法,因此在自定义的函数中可以直接调用在内存中备份的dll代码,而不需要再把函数头部改来改去。用SetWindowsHookEx挂钩住大多数程序,我想应该稳定性会增加许多。
不过要注意的是,例子中没有把原函数的头部几个字节改回去是因为,程序很简单,仅仅测试了效果后便可以退出,没有其他的功能。实际应用中,还要在你注入的dll模块卸载时,把原函数的头几个字节改回去,以免影响到程序继续运行的稳定性。(因为注入的程序不是自己的,我们当然不可能知道它到底在何时、有多少个我们所Hook的函数的调用。)
学习。
如果是本进程hook的话,
WriteProcessMemory 的第一形参可直接填写 -1即可。
此时也不必使用VirtualProtect了。 怎么没人顶,支持楼主! 好帖子 看来好多,自己还没写出过一个 回复 downtools 的帖子
我也学习了,:) 楼主辛苦
谢谢分享 这好像是C++写的,有用C写的吗? 学到点东西 嘿嘿嘿。。。顶一下。。有时间真的要学习一下HOOK
页:
[1]
2