设为首页收藏本站
切换到窄版

鱼C论坛

 找回密码
 立即注册
鱼C论坛»论坛 编程语言专区 C\C++交流 inline hook api 求助
返回列表 发新帖
查看: 2683|回复: 1

inline hook api 求助

[复制链接]
jxlpxcj
发表于 2016-7-25 22:25:54 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
最近在百度学习HOOK API 的教程 根据网上的例子自已写下来发现 例子里面的MessageBoxW函数Hook 可以正常 但是我把MessageBoxW 换成CreateProcessA和CreateProcessW 或者OpenProcess 都会提示内存报错 例子里面有一段修改内存是通过了汇编代码来实现在 本人没有学过汇编 ,不懂!下面上代码 有懂的老师还望指教下!谢谢

//这下面是没有问题的MessageBox
  1. #include <stdio.h>
  2. #include <windows.h>
  3. #include <tchar.h>
  4. //以MSG定义为原型定义函数类型
  5. typedef int (WINAPI* MsgBoxW)(HWND hwnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType);
  6. typedef HANDLE (WINAPI *OpenPros)(DWORD dwDesiredAccess,BOOL bInheritHandle,DWORD dwProcessId);
  7. HMODULE hmod = NULL;

  9. MsgBoxW oldmsg;  //用于存放未修改过的MSG函数地址 注意这是指针型

  11. FARPROC pfoldmsg;        //指向原函数的远指针



  15. BYTE OldCode[5];

  17. BYTE NewCode[5];

  19. DWORD dwPid = NULL;
  20. HANDLE hProcess = NULL;

  22. void HookOn()
  23. {
  24.         DWORD dwTemp = 0;
  25.         DWORD dwOldProtect;

  27.         //修改API函数入口前5个字节为jmp xxxxxx  
  28.         VirtualProtectEx(hProcess, pfoldmsg, 5, PAGE_READWRITE, &dwOldProtect);
  29.         WriteProcessMemory(hProcess, pfoldmsg, NewCode, 5, 0);
  30.         VirtualProtectEx(hProcess, pfoldmsg, 5, dwOldProtect, &dwTemp);

  32. }

  34. void HookOff()
  35. {
  36.         DWORD dwTemp = 0;
  37.         DWORD dwOldProtect;

  39.         //恢复API函数入口前5个字节  
  40.         VirtualProtectEx(hProcess, pfoldmsg, 5, PAGE_READWRITE, &dwOldProtect);
  41.         WriteProcessMemory(hProcess, pfoldmsg, OldCode, 5, 0);
  42.         VirtualProtectEx(hProcess, pfoldmsg, 5, dwOldProtect, &dwTemp);
  43. }

  45. HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId)
  46. {
  47.         MessageBoxW(NULL, _T("哈哈,MessageBoxW被HOOK了"), L"OPENPROCESS", MB_OK);
  48.         return 0;
  49. }

  51. int WINAPI MyMessageBoxW(HWND hwnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)
  52. {
  53.        
  54.         HookOff();//调用原函数之前,记得先恢复HOOK呀,不然是调用不到的  
  55.         //如果不恢复HOOK,就调用原函数,会造成死循环  
  56.         //毕竟调用的还是我们的函数,从而造成堆栈溢出,程序崩溃。  

  58.         int nRet = ::MessageBoxW(hwnd, _T("哈哈,MessageBoxW被HOOK了"), lpCaption, uType);

  60.         HookOn();//调用完原函数后,记得继续开启HOOK,不然下次会HOOK不到。   

  62.         return nRet;;
  63.        
  64. }

  66. void writeold()
  67. {
  68.         //保存原API入口的前5个字节

  70.         //保存的目的是为了恢复用的,毕竟我们HOOK了API后,还需要调用真实的API嘛,

  72.         //如何保存一个函数入口的前5个字节呢?这里用到了汇编代码,至于不用汇编可以吗?我想是可以的。

  74.         //有空时,我再试一下,不用汇编是否能保存一个API入口的前5个字节,这里就先用别人写的汇编代码吧,

  76.         _asm
  77.         {
  78.                 lea edi, OldCode        ////获取OldCode数组的地址,放到edi
  79.                         mov esi, pfoldmsg //获取原API入口地址,放到esi
  80.                         cld //方向标志位,为以下俩条指令做准备
  81.                         movsd //复制原API入口前4个字节到OldCode数组
  82.                         movsb //复制原API入口第5个字节到OldCode数组
  83.         }

  85. }

  87. void writenew()
  88. {

  90.         //获取MyMessageBoxW的相对地址,为Jmp做准备  
  91.         //int nAddr= UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);  
  92.         //Jmp nAddr;  
  93.         //(我们定制的这条指令的大小), 这里是5,5个字节嘛  
  94.         //填充完毕,现在NewCode[]里的指令相当于Jmp MyMessageBoxW  
  95.         //既然已经获取到了Jmp MyMessageBoxW  
  96.         //现在该是将Jmp MyMessageBoxW写入原API入口前5个字节的时候了  
  97.         //知道为什么是5个字节吗?  
  98.         //Jmp指令相当于0xe9,占一个字节的内存空间  
  99.         //MyMessageBoxW是一个地址,其实是一个整数,占4个字节的内存空间  
  100.         //int n=0x123;   n占4个字节和MyMessageBoxW占4个字节是一样的  
  101.         //1+4=5,知道为什么是5个字节了吧  
  102.         NewCode[0] = 0xe9;//实际上0xe9就相当于jmp指令
  103.         _asm
  104.         {
  105.                 lea eax, MyMessageBoxW //获取我们的MyMessageBoxW函数地址  
  106.                         mov ebx, pfoldmsg  //原系统API函数地址  
  107.                         sub eax, ebx           //int nAddr= UserFunAddr – SysFunAddr  
  108.                         sub eax, 5             //nAddr=nAddr-5  
  109.                         mov dword ptr[NewCode + 1], eax //将算出的地址nAddr保存到NewCode后面4个字节  
  110.                         //注:一个函数地址占4个字节  
  111.         }

  113. }

  115. int main()
  116. {
  117.        

  119.         //有了保存原API函数地址的变量OldMsgBox和指向原API函数的远指针,我们就可以获取真实API的地址了

  121.         //获取原API入口地址
  122.         hmod = LoadLibrary(_T("User32.dll")); //载入DLL文件

  124.         oldmsg = (MsgBoxW)GetProcAddress(hmod, "MessageBoxW");        //获得DLL文件中MESSAGEBOXW函数地址

  126.         pfoldmsg = (FARPROC)oldmsg;

  128.         dwPid = ::GetCurrentProcessId();

  130.         hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);

  132.         //poldmsg = (BYTE*)oldmsg ;
  133.         writeold();
  134.         writenew();
  135.        
  136.         HookOn();
  137.         MessageBox(NULL, _T("获取原API入口地址出错"), _T("error!"), 0);
  138.        
  139. }
复制代码


//这下面是我改成OpenProcess后的代码 会提示内存错误

  1. #include <stdio.h>
  2. #include <windows.h>
  3. #include <tchar.h>
  4. //以MSG定义为原型定义函数类型
  5. typedef int (WINAPI* MsgBoxW)(HWND hwnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType);
  6. typedef HANDLE (WINAPI *OpenPros)(DWORD dwDesiredAccess,BOOL bInheritHandle,DWORD dwProcessId);
  7. HMODULE hmod = NULL;

  9. OpenPros oldmsg;  //用于存放未修改过的MSG函数地址 注意这是指针型

  11. FARPROC pfoldmsg;        //指向原函数的远指针



  15. BYTE OldCode[5];

  17. BYTE NewCode[5];

  19. DWORD dwPid = NULL;
  20. HANDLE hProcess = NULL;

  22. void HookOn()
  23. {
  24.         DWORD dwTemp = 0;
  25.         DWORD dwOldProtect;

  27.         //修改API函数入口前5个字节为jmp xxxxxx  
  28.         VirtualProtectEx(hProcess, pfoldmsg, 5, PAGE_READWRITE, &dwOldProtect);
  29.         WriteProcessMemory(hProcess, pfoldmsg, NewCode, 5, 0);
  30.         VirtualProtectEx(hProcess, pfoldmsg, 5, dwOldProtect, &dwTemp);

  32. }

  34. void HookOff()
  35. {
  36.         DWORD dwTemp = 0;
  37.         DWORD dwOldProtect;

  39.         //恢复API函数入口前5个字节  
  40.         VirtualProtectEx(hProcess, pfoldmsg, 5, PAGE_READWRITE, &dwOldProtect);
  41.         WriteProcessMemory(hProcess, pfoldmsg, OldCode, 5, 0);
  42.         VirtualProtectEx(hProcess, pfoldmsg, 5, dwOldProtect, &dwTemp);
  43. }

  45. HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId)
  46. {
  47.         MessageBoxW(NULL, _T("哈哈,MessageBoxW被HOOK了"), L"OPENPROCESS", MB_OK);
  48.         return 0;
  49. }

  51. int WINAPI MyMessageBoxW(HWND hwnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)
  52. {
  53.        
  54.         HookOff();//调用原函数之前,记得先恢复HOOK呀,不然是调用不到的  
  55.         //如果不恢复HOOK,就调用原函数,会造成死循环  
  56.         //毕竟调用的还是我们的函数,从而造成堆栈溢出,程序崩溃。  

  58.         int nRet = ::MessageBoxW(hwnd, _T("哈哈,MessageBoxW被HOOK了"), lpCaption, uType);

  60.         HookOn();//调用完原函数后,记得继续开启HOOK,不然下次会HOOK不到。   

  62.         return nRet;;
  63.        
  64. }

  66. void writeold()
  67. {
  68.         //保存原API入口的前5个字节

  70.         //保存的目的是为了恢复用的,毕竟我们HOOK了API后,还需要调用真实的API嘛,

  72.         //如何保存一个函数入口的前5个字节呢?这里用到了汇编代码,至于不用汇编可以吗?我想是可以的。

  74.         //有空时,我再试一下,不用汇编是否能保存一个API入口的前5个字节,这里就先用别人写的汇编代码吧,

  76.         _asm
  77.         {
  78.                 lea edi, OldCode        ////获取OldCode数组的地址,放到edi
  79.                         mov esi, pfoldmsg //获取原API入口地址,放到esi
  80.                         cld //方向标志位,为以下俩条指令做准备
  81.                         movsd //复制原API入口前4个字节到OldCode数组
  82.                         movsb //复制原API入口第5个字节到OldCode数组
  83.         }

  85. }

  87. void writenew()
  88. {

  90.         //获取MyMessageBoxW的相对地址,为Jmp做准备  
  91.         //int nAddr= UserFunAddr – SysFunAddr - (我们定制的这条指令的大小);  
  92.         //Jmp nAddr;  
  93.         //(我们定制的这条指令的大小), 这里是5,5个字节嘛  
  94.         //填充完毕,现在NewCode[]里的指令相当于Jmp MyMessageBoxW  
  95.         //既然已经获取到了Jmp MyMessageBoxW  
  96.         //现在该是将Jmp MyMessageBoxW写入原API入口前5个字节的时候了  
  97.         //知道为什么是5个字节吗?  
  98.         //Jmp指令相当于0xe9,占一个字节的内存空间  
  99.         //MyMessageBoxW是一个地址,其实是一个整数,占4个字节的内存空间  
  100.         //int n=0x123;   n占4个字节和MyMessageBoxW占4个字节是一样的  
  101.         //1+4=5,知道为什么是5个字节了吧  
  102.         NewCode[0] = 0xe9;//实际上0xe9就相当于jmp指令
  103.         _asm
  104.         {
  105.                 lea eax, MyOpenProcess //获取我们的MyMessageBoxW函数地址  
  106.                         mov ebx, pfoldmsg  //原系统API函数地址  
  107.                         sub eax, ebx           //int nAddr= UserFunAddr – SysFunAddr  
  108.                         sub eax, 5             //nAddr=nAddr-5  
  109.                         mov dword ptr[NewCode + 1], eax //将算出的地址nAddr保存到NewCode后面4个字节  
  110.                         //注:一个函数地址占4个字节  
  111.         }

  113. }

  115. int main()
  116. {
  117.        

  119.         //有了保存原API函数地址的变量OldMsgBox和指向原API函数的远指针,我们就可以获取真实API的地址了

  121.         //获取原API入口地址
  122.         hmod = LoadLibrary(_T("Kernel32.dll")); //载入DLL文件

  124.         oldmsg = (OpenPros)GetProcAddress(hmod, "OpenProcess");        //获得DLL文件中MESSAGEBOXW函数地址

  126.         pfoldmsg = (FARPROC)oldmsg;

  128.         dwPid = ::GetCurrentProcessId();

  130.         hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);

  132.        
  133.         writeold();
  134.         writenew();
  135.        
  136.         HookOn();
  137.         MessageBox(NULL, _T("获取原API入口地址出错"), _T("error!"), 0);
  138.        
  139. }
复制代码
小甲鱼最新课程 -> https://ilovefishc.com
回复

使用道具 举报

jxlpxcj
 楼主| 发表于 2016-7-26 11:45:32 | 显示全部楼层
什么情况 没有人吗 !自已顶一下。
小甲鱼最新课程 -> https://ilovefishc.com
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2025-6-14 15:51

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表