C++的Inline Hook代码,采用了备份dll的方法,因此在自定义的函数中可以直接调用在内存中备份的dll代码,而不需要把函数头部改来改去。用SetWindowsHookEx程序的稳定性应该会增加许多。
需要注意的是,例子中没有把原函数的头部几个字节改回去是因为,程序很简单,仅仅测试了效果后便可以退出,没有其他的功能。实际应用中,还要在你注入的dll模块卸载时,把原函数的头几个字节改回去,以免影响到程序继续运行的稳定性。(因为注入的程序不是自己的,我们当然不可能知道它到底在何时、有多少个我们所Hook的函数的调用)。
具体实现代码如下:
?
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
|
#include <ntifs.h>
#include <windef.h>
#include <stdio.h>
#pragma comment(lib, "psapi.lib")
//BYTE Org_Code[7];// 备份dll法, 因此就可以不需要
BYTE New_Code[7];
HMODULE hDllHandle = NULL; // 被 Hook 的 DLL 句柄
HANDLE hProcess = NULL; // 进程句柄
LPVOID _MessageBoxA = NULL; // MessageBoxA() 原地址
DWORD _ShowMessage = NULL; // 自定义函数地址
void InlineHook();
//void UnInlineHook(); // 备份dll法, 因此就可以不需要
void BackupDll();
// 自定义函数
int WINAPI ShowMessage(HWND, LPTSTR, LPTSTR, UINT);
void main()
{
hProcess = ::GetCurrentProcess();
hDllHandle = ::LoadLibrary("user32.dll");
if (hDllHandle == NULL)
return;
_MessageBoxA = (LPVOID)::GetProcAddress(hDllHandle, "MessageBoxA");
if (_MessageBoxA == NULL)
return;
BackupDll();
InlineHook();
char szText[256];
char szTitle[256];
memset(szText, 0x0, sizeof(szText));
memset(szTitle, 0x0, sizeof(szTitle));
// 下列循环接收来自于用户输入的字符, 并使用 MessageBoxA()
//来显示, 尝试下, 看看发生了什么. :)
while (TRUE)
{
printf("Message Text: ");
scanf("%s", szText);
printf("Message Title: ");
scanf("%s", szTitle);
MessageBoxA(NULL, szText, szTitle, 0);
printf("\\n");
}
return;
}
void InlineHook()
{
DWORD _JmpAddr = (DWORD)ShowMessage;
// 构造新头部代码
New_Code[0] = 0xB8; //
memcpy(&New_Code[1], &_JmpAddr, 4); // mov eax, _JmpAddr
New_Code[5] = 0xFF; //
New_Code[6] = 0xE0; // jmp eax
DWORD dwOldProtect = 0;
// 去内存保护
::VirtualProtect(_MessageBoxA, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);
// 把新代码写入 MessageBoxA() 的头部, 这也是Inline Hook
//的核心所在.
::WriteProcessMemory(
hProcess,
_MessageBoxA,
New_Code,
sizeof(New_Code),
NULL
);
// 写内存保护
::VirtualProtect(_MessageBoxA, 7, dwOldProtect, &dwOldProtect);
return;
}
/*
void UnInlineHook() // 备份dll法, 因此就可以不需要
{
return;
}
*/
int WINAPI ShowMessage(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType)
{
typedef int WINAPI SHOWMSG(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType);
SHOWMSG *pShowMsg = (SHOWMSG*)_ShowMessage;
// 废弃原先传入的参数, 自己定义对话框文本
char buf[1024];
::wsprintf(buf, "The Text:"%s" was hacked by miku_fl", lpText);
return pShowMsg(hWnd, buf, lpTitle, MB_ICONINFORMATION | MB_TOPMOST);
}
void BackupDll()
{
MODULEINFO Mdl_Info;
LPVOID lpNewDLL = NULL;
// 获取模块信息
::GetModuleInformation(hProcess, hDllHandle, &Mdl_Info, sizeof(Mdl_Info));
// 分配内存空间, 用于备份 dll (这样一来就不需要恢复原头部代码, 调用
//完之后再重新写自定义的头部代码).
lpNewDLL = ::VirtualAllocEx(
hProcess,
NULL,
Mdl_Info.SizeOfImage,
MEM_COMMIT,
PAGE_EXECUTE_READWRITE
);
if (lpNewDLL == NULL)
return;
// 在分配的内存中写入 dll 文件的内容
::WriteProcessMemory(hProcess, lpNewDLL, Mdl_Info.lpBaseOfDll, Mdl_Info.SizeOfImage, NULL);
// 计算自定义函数的地址.
// 公式: 自定义地址 = 原API函数地址 - 模块基址 + 分配内存的基址
_ShowMessage = (DWORD)_MessageBoxA - (DWORD)Mdl_Info.lpBaseOfDll + (DWORD)lpNewDLL;
return;
}
|
希望本文所述程序实例能对大家有所帮助。
相关文章
猜你喜欢
