Windows的HooK技术实现（支持X86/X64版本）

   Hook技术应用广泛，如热补丁升级技术，API劫持，软件**等，是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理，实现方法，同时送上demo实例。

一 . HOOK的基本原理

Hook技术的原理的:就是修改程序的运行时PC指针，让程序跳到我们指定的代码中运行，运行完我们的程序，程序PC指针又回到原来程序的下一条指令。简而言之：就篡改程序的运行路径，来执行我们的程序。

 

二．Hook技术的实现

1）需求分析

                                                Hook的基本流程

原来的程序中的test.exe调用myprintf,现在我们要实现不编译源代码test.exe和test_dll源代码的前提下（你懂的，**软件都是拿不到源代码的）让test.exe去调用MyPrintf_new。

其中：

test_dll的实现：

int MyPintf(int d)
{
      printf("hello,this is test ,test value is %d\n", d);
      return d+1;
}

test.exe的实现：

int _tmain(int argc, _TCHAR* argv[])

{

    int d = 0;

    d = MyPintf(2);

    printf("d %d\n", d);

    getchar();

    return 0;

}

我们目标要实现main函数调用

int  MyPintf_new(int d)

{

    printf("hello,this is my hook test ,test value is %d\n", d);

    return d+10;

}

其中MyPintf_new我们在hook_dll中实现。

2）关键代码的实现

在hook_dll加载时篡改MyPintf的跳转指令。

其中

GetApiEntrance（）备份原来的跳转指令，构造新函数的跳转指令。

HookOn()用于改写进程空间中目标函数的跳转指令

HookOff()用于还原进程空间中目标函数的跳转指令

void GetApiEntrance()

{

   

    //获取原API入口地址

    HMODULE hmod = ::GetModuleHandle(L"test_dll.dll");

    OldFun = (fun)::GetProcAddress(hmod, "MyPintf");

    pfOldFun = (FARPROC)OldFun;

    if (pfOldFun == NULL)

    {

        printf("获取原API入口地址出错");

        return;

    }

//  OldFun(88);

#ifndef WIN64

    // 将原API的入口前5个字节代码保存到OldCode[]

    _asm

    {

           lea edi, OldCode     //获取OldCode数组的地址,放到edi

            mov esi, pfOldFun //获取原API入口地址，放到esi

            cld   //方向标志位，为以下两条指令做准备

            movsd //复制原API入口前4个字节到OldCode数组

            movsb //复制原API入口第5个字节到OldCode数组

    }

    NewCode[0] = 0xe9;//实际上0xe9就相当于jmp指令

    //获取MyPintf_new的相对地址,为Jmp做准备

    //int nAddr= UserFunAddr – SysFunAddr - （我们定制的这条指令的大小）;

    //Jmp nAddr;

    //（我们定制的这条指令的大小）, 这里是5，5个字节嘛

    //BYTE NewCode[5];

    _asm

    {

            lea eax, MyPintf_new //获取我们的MyPintf_new函数地址

            mov ebx, pfOldFun  //原系统API函数地址

            sub eax, ebx            //int nAddr= UserFunAddr – SysFunAddr

            sub eax, 5          //nAddr=nAddr-5

            mov dword ptr[NewCode + 1], eax //将算出的地址nAddr保存到NewCode后面4个字节

            //注：一个函数地址占4个字节

    }

#else

//  JMP_X64(OldCode, pfOldFun, NewCode);

#endif

    //填充完毕，现在NewCode[]里的指令相当于Jmp MyPintf_new

    //既然已经获取到了Jmp MyPintf_new

    //现在该是将Jmp MyPintf_new写入原API入口前5个字节的时候了

    //知道为什么是5个字节吗？

    //Jmp指令相当于0xe9,占一个字节的内存空间

    // MyPintf_new是一个地址，其实是一个整数，占4个字节的内存空间

    //int n=0x123;   n占4个字节和MyPintf_new占4个字节是一样的

    //1+4=5，知道为什么是5个字节了吧

    HookOn();

}

//开启钩子的函数

void HookOn()

{

#ifdef WIN64

//to do it

#else

    DWORD dwPid = ::GetCurrentProcessId();

    //printf("pid %d\n", dwPid);

    hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);

    assert(hProcess != NULL);

    //printf("HookOn now,hProcess %d\n", hProcess);

    DWORD dwTemp = 0;

    DWORD dwOldProtect;

   

    //修改API函数入口前5个字节为jmp xxxxxx

    VirtualProtectEx(hProcess, pfOldFun, 5, PAGE_READWRITE, &dwOldProtect);

    WriteProcessMemory(hProcess, pfOldFun, NewCode, 5, 0);

    VirtualProtectEx(hProcess, pfOldFun, 5, dwOldProtect, &dwTemp);

#endif

    printf("HookOn end\n");

 

}

 

//关闭钩子的函数

void HookOff()

{

#ifdef WIN64

//to do it

#else

    assert(hProcess != NULL);

 

    DWORD dwTemp = 0;

    DWORD dwOldProtect;

 

    //恢复API函数入口前5个字节

    VirtualProtectEx(hProcess, pfOldFun, 5, PAGE_READWRITE, &dwOldProtect);

    WriteProcessMemory(hProcess, pfOldFun, OldCode, 5, 0);

    VirtualProtectEx(hProcess, pfOldFun, 5, dwOldProtect, &dwTemp);

#endif

}

 

4）使用工具将hook_dll.dll打进test.exe导入表，让test.exe拉起hook_dll.dll。

这样test.exe启动时就能加载hook_dll.dll，同时调用GetApiEntrance完成hook的初始化。

 

三 结果演示

原始的test.exe 演示效果

Hook之后的test.exe演示效果

对于64位hook，由于64位系统的指令系统，寄存器空间也不一样。需要研究一下X64的指令系统以及寄存器使用。基本思路是一样的，唯独就是JMP那条指令实现不一样，敬请期待。

更多更详细信息请关注公众号：AV_Chat