一、??Hook介紹
鉤子(Hook)，是Windows消息處理機(jī)制的一個平臺,應(yīng)用程序可以在上面設(shè)置子程以監(jiān)視指定窗口的某種消息，而且所監(jiān)視的窗口可以是其他進(jìn)程所創(chuàng)建的。當(dāng)消息到達(dá)后，在目標(biāo)窗口處理函數(shù)之前處理它。鉤子機(jī)制允許應(yīng)用程序截獲處理window消息或特定事件。
?我們知道Windows系統(tǒng)API函數(shù)都是被封裝到DLL中，在某個應(yīng)用程序要調(diào)用一個API函數(shù)的時候，如果這個函數(shù)所在的DLL沒有被加載到本進(jìn)程中則加載它，然后保存當(dāng)前環(huán)境（各個寄存器和函數(shù)調(diào)用完后的返回地址等）。接著程序會跳轉(zhuǎn)到這個API函數(shù)的入口地址去執(zhí)行此處的指令。由此看來，我們想在調(diào)用真正的API之前先調(diào)用我們的函數(shù)，那么可以修改這個API函數(shù)的入口處的代碼，使他先跳轉(zhuǎn)到我們的函數(shù)地址，然后在我們的函數(shù)最后再調(diào)用原來的API函數(shù)。
簡單來說HOOK?API?可以理解成對程序?qū)⒁獔?zhí)行系統(tǒng)函數(shù)的一個攔截，?攔截后執(zhí)行自己寫的代碼以達(dá)到完成某種特定的目的，再恢復(fù)程序繼續(xù)執(zhí)行，很多PJ中的Patch?機(jī)器碼，盜號木馬等都是用這個方法。
二、??Hook?API實(shí)戰(zhàn)
OK，既然我們需要實(shí)現(xiàn)一個這樣的一個HOOK。當(dāng)然需要兩樣?xùn)|西，一是目標(biāo)程序，一是我們的代碼。
1.??程序：
新建一個dll工程文件目錄如圖：
附件 93152
我們自己新建一個Add.def文件，然后添加到工程中即可，如圖我是添加到Source?Files里。
跟exe有個main或者WinMain入口函數(shù)一樣，DLL也有它自己的一個入口函數(shù)，就是DllMain。
我們打開dllmain.cpp??代碼如下：

代碼:

// dllmain.cpp : Defines the entry point for the DLL application. #include "stdafx.h"int WINAPI add(int a, int b) {return a + b; }BOOL APIENTRY DllMain(HANDLE hModule,DWORD ul_reason_for_call,LPVOID lpReserved) {return TRUE; }

DEF文件是模塊定義文件，模塊定義?(.def)?文件為鏈接器提供有關(guān)被鏈接程序的導(dǎo)出、屬性及其他方面的信息。生成?DLL?時，.def?文件最有用。由于存在可代替模塊定義語句使用的鏈接器選項(xiàng)，通常不需要?.def?文件。也可以將?__declspec(dllexport)?用作指定導(dǎo)出函數(shù)的手段。在鏈接器階段可以使用?/DEF（指定模塊定義文件）鏈接器選項(xiàng)調(diào)用?.def?文件。如果生成的?.exe?文件沒有導(dǎo)出，使用?.def?文件將使輸出文件較大并降低加載速度。
??在VC++中，生成DLL可以不使用.def文件。只需要在VC++的函數(shù)定義前要加__declspec(dllexport)修飾就可以了。但是使用__declspec(dllexport)和使用.def文件是有區(qū)別的。如果DLL是提供給VC++用戶使用的，你只需要把編譯DLL時產(chǎn)生的.lib提供給用戶，它可以很輕松地調(diào)用你的DLL。但是如果你的DLL是供其他程序如VB、delphi,以及.NET用戶使用的，那么會產(chǎn)生一個小麻煩。因?yàn)閂C++對于__declspec(dllexport)聲明的函數(shù)會進(jìn)行名稱轉(zhuǎn)換，如下面的函數(shù)：
__declspec(dllexport)?int?__stdcallIsWinNT()
會轉(zhuǎn)換為IsWinNT@0，這樣你在VB中必須這樣聲明：
Declare?Function?IsWinNT?Lib?"my.dll"?Alias?"IsWinNT@0"?()?As?Long
@的后面的數(shù)由于參數(shù)類型不同而可能不同。這顯然不太方便。所以如果要想避免這種轉(zhuǎn)換，就要使用.def文件方式。
EXPORTS后面的數(shù)可以不給，系統(tǒng)會自動分配一個數(shù)。對于VB、PB、Delphi用戶，通常使用按名稱進(jìn)行調(diào)用的方式，這個數(shù)關(guān)系不大，但是對于使用.lib鏈接的VC程序來說，不是按名稱進(jìn)行調(diào)用，而是按照這個數(shù)進(jìn)行調(diào)用的，所以最好給出。
??.def?文件中的第一條?LIBRARY?語句不是必須的，但LIBRARY?語句后面的?DLL?的名稱必須正確，即與生成的動態(tài)鏈接庫的名稱必須匹配。此語句將?.def?文件標(biāo)識為屬于?DLL。鏈接器將此名稱放到?DLL?的導(dǎo)入庫中。
EXPORTS?語句列出名稱，可能的話還會列出?DLL?導(dǎo)出函數(shù)的序號值。通過在函數(shù)名的后面加上?@?符和一個數(shù)字，給函數(shù)分配序號值。當(dāng)指定序號值時，序號值的范圍必須是從?1?到?N，其中?N?是?DLL?導(dǎo)出函數(shù)的個數(shù)。
LIBRARY?BTREE
EXPORTS
Insert?@1
Delete?@2
Member?@3
Min?@4
如果使用?MFC?DLL?向?qū)?chuàng)建?MFC?DLL，則向?qū)槟鷦?chuàng)建主干?.def?文件并將其自動添加到項(xiàng)目中。添加要導(dǎo)出到此文件的函數(shù)名。對于非?MFC?DLL，必須親自創(chuàng)建?.def?文件并將其添加到項(xiàng)目中。
如果導(dǎo)出?C++?文件中的函數(shù)，必須將修飾名放到?.def?文件中，或者通過使用外部“C”定義具有標(biāo)準(zhǔn)?C?鏈接的導(dǎo)出函數(shù)。如果需要將修飾名放到?.def?文件中，則可以通過使用?DUMPBIN?工具或?/MAP?鏈接器選項(xiàng)來獲取修飾名。請注意，編譯器產(chǎn)生的修飾名是編譯器特定的。如果將?Visual?C++?編譯器產(chǎn)生的修飾名放到?.def?文件中，則鏈接到?DLL?的應(yīng)用程序必須也是用相同版本的?Visual?C++?生成的，這樣調(diào)用應(yīng)用程序中的修飾名才能與?DLL?的?.def?文件中的導(dǎo)出名相匹配。
因此def文件代碼如下：

代碼:

LIBRARY Add DESCRIPTION "ADD LA" EXPORTS add @1;
void CMFCApplication5Dlg::OnBnClickedButton1() {// TODO: Add your control notification handler code hereHINSTANCE hAddDll = NULL;typedef int (WINAPI*AddProc)(int a, int b);//函數(shù)原型定義 AddProc add;if (hAddDll == NULL){hAddDll = ::LoadLibrary(_T("Win32DLL.dll"));//加載dll }add = (AddProc)::GetProcAddress(hAddDll, "add");//獲取函數(shù)add地址 int a = 123;int b = 456;int c = add(a, b); CString tem;tem.Format(_T("%d+%d=%d"), a, b, c);AfxMessageBox(tem);}
代碼:

// Hook.cpp : Defines the initialization routines for the DLL. #include "stdafx.h" #include "Hook.h"#ifdef _DEBUG #define new DEBUG_NEW #endif //變量定義 #pragma data_seg("SHARED") //不同Instance共享的該變量 static HHOOK hhk = NULL; //鼠標(biāo)鉤子句柄 static HINSTANCE hinst = NULL; //本dll的實(shí)例句柄 (hook.dll) #pragma data_seg() #pragma comment(linker, "/section:SHARED,rws") //以上的變量為共享 CString temp; //用于顯示錯誤的臨時變量 bool bHook = false; //是否Hook了函數(shù) bool m_bInjected = false; //是否對API進(jìn)行了Hook BYTE OldCode[5]; //原程序API入口代碼 BYTE NewCode[5]; //新跳轉(zhuǎn)的API代碼 (jmp xxxx) typedef int (WINAPI*AddProc)(int a, int b);//add.dll中的add函數(shù)定義 AddProc add; //add.dll中的add函數(shù) HANDLE hProcess = NULL; //所處進(jìn)程的句柄 FARPROC pfadd; //指向add函數(shù)的遠(yuǎn)指針 DWORD dwPid; //所處進(jìn)程ID //end of 變量定義 // CHookAppBEGIN_MESSAGE_MAP(CHookApp, CWinApp) END_MESSAGE_MAP()//鼠標(biāo)鉤子過程，什么事情也不做，目的是注入dll到程序中 LRESULT CALLBACK MouseProc(int nCode, WPARAM wParam, LPARAM lParam) {return CallNextHookEx(hhk, nCode, wParam, lParam); } //開啟鉤子的函數(shù) void HookOn() {ASSERT(hProcess != NULL);DWORD dwTemp = 0;DWORD dwOldProtect;//將內(nèi)存保護(hù)模式改為可寫,老模式保存入dwOldProtect VirtualProtectEx(hProcess, pfadd, 5, PAGE_READWRITE, &dwOldProtect);//將所屬進(jìn)程中add()的前5個字節(jié)改為Jmp Myadd WriteProcessMemory(hProcess, pfadd, NewCode, 5, 0);//將內(nèi)存保護(hù)模式改回為dwOldProtect VirtualProtectEx(hProcess, pfadd, 5, dwOldProtect, &dwTemp);bHook = true; } //關(guān)閉鉤子的函數(shù) void HookOff()//將所屬進(jìn)程中add()的入口代碼恢復(fù) {ASSERT(hProcess != NULL);DWORD dwTemp = 0;DWORD dwOldProtect;VirtualProtectEx(hProcess, pfadd, 5, PAGE_READWRITE, &dwOldProtect);WriteProcessMemory(hProcess, pfadd, OldCode, 5, 0);VirtualProtectEx(hProcess, pfadd, 5, dwOldProtect, &dwTemp);bHook = false; } //然后，寫我們自己的Myadd()函數(shù) int WINAPI Myadd(int a, int b) {//截獲了對add()的調(diào)用，我們給a,b都加上一定的數(shù)a = a + 987;b = b + 654;HookOff();//關(guān)掉Myadd()鉤子防止死循環(huán) int ret;ret = add(a, b);HookOn();//開啟Myadd()鉤子 return ret; } //好，最重要的HOOK函數(shù)： void Inject() {if (m_bInjected == false){ //保證只調(diào)用1次 m_bInjected = true;//獲取add.dll中的add()函數(shù) HMODULE hmod = ::LoadLibrary(_T("Win32DLL.dll"));add = (AddProc)::GetProcAddress(hmod, "add");pfadd = (FARPROC)add;if (pfadd == NULL){AfxMessageBox(L"cannot locate add()");}// 將add()中的入口代碼保存入OldCode[] _asm{lea edi, OldCodemov esi, pfaddcldmovsdmovsb}NewCode[0] = 0xe9;//實(shí)際上0xe9就相當(dāng)于jmp指令 //獲取Myadd()的相對地址 _asm{lea eax, Myaddmov ebx, pfaddsub eax, ebxsub eax, 5mov dword ptr[NewCode + 1], eax}//填充完畢，現(xiàn)在NewCode[]里的指令相當(dāng)于Jmp Myadd HookOn(); //可以開啟鉤子了 } }CHookApp::CHookApp() {} CHookApp theapp;//鼠標(biāo)鉤子安裝函數(shù): BOOL InstallHook() {hhk = ::SetWindowsHookEx(WH_MOUSE, MouseProc, hinst, 0);return true; }//卸載鼠標(biāo)鉤子函數(shù) void UninstallHook() {::UnhookWindowsHookEx(hhk); }//在dll實(shí)例化中獲得一些參數(shù) BOOL CHookApp::InitInstance() {CWinApp::InitInstance();//獲得dll 實(shí)例，進(jìn)程句柄 hinst = ::AfxGetInstanceHandle();DWORD dwPid = ::GetCurrentProcessId();hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);//調(diào)用注射函數(shù) Inject();return TRUE; }

值得一提的是很多人都是改API開頭的5個字節(jié)，但是現(xiàn)在很多殺毒軟件用這樣的方法檢查API是否被HOOK，或其他病毒木馬在你之后又改了前5個字節(jié)，這樣就會互相覆蓋，最后一個HOOK?API的操作才是有效的。掛鉤的方法很多，這里只是最基礎(chǔ)的一種。希望大家多多補(bǔ)充。多多指正。
了解好以下的問題能夠更好的提升自己的HOOK水平:
1.CPU指令長度問題，在32位系統(tǒng)里，一條JMP/CALL指令的長度是5個字節(jié)，因此你只有替換API里超過5個字節(jié)長度的機(jī)器碼（或者替換幾條指令長度加起來是5字節(jié)的指令），否則會影響被更改的小于5個字節(jié)的機(jī)器碼后面的數(shù)條指令，甚至程序流程會被打亂，產(chǎn)生不可預(yù)料的后果；
2.參數(shù)問題，為了訪問原API的參數(shù)，你要通過EBP或ESP來引用參數(shù)，因此你要非常清楚你的HOOK代碼里此時的EBP/ESP的值是多少；
3.時機(jī)的問題，有些HOOK必須在API的開頭，有些必須在API的尾部，比如HOOK?CreateFilaA()，如果你在API尾部HOOK?API，那么此時你就不能寫文件，甚至不能訪問文件；HOOK?RECV()，如果你在API頭HOOK，此時還沒有收到數(shù)據(jù)，你就去查看RECV()的接收緩沖區(qū)，里面當(dāng)然沒有你想要的數(shù)據(jù)，必須等RECV()正常執(zhí)行后，在RECV()的尾部HOOK，此時去查看RECV()的緩沖區(qū)，里面才有想要的數(shù)據(jù)；
4.上下文的問題，有些HOOK代碼不能執(zhí)行某些操作，否則會破壞原API的上下文，原API就失效了；
5.同步問題，在HOOK代碼里盡量不使用全局變量，而使用局部變量，這樣也是模塊化程序的需要；
6.最后要注意的是，被替換的CPU指令的原有功能一定要在HOOK代碼的某個地方模擬實(shí)現(xiàn)。

總結(jié)

以上是生活随笔為你收集整理的HOOK学习笔记与心得的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。