怎样Hook系统函数？？？我想Hook EndDoc函数!(200分)

hzlan · 2003-08-08

怎样在系统调用EndDoc函数时，先处理我的过程再调用EndDoc函数，是Hook系统的所有EndDoc函数! 谢

hzlan · 2003-08-08

不会也请帮我顶一下，提前一下，我相信好多人都想问这个问题

laoli · 2003-08-08

这里有个例子，你看看： 在你的程序中做一个函数func(...) 调用 func1 = ApiSpy(NULL,"GDI32.DLL","TextOutA",(PROC)func) 那么你的程序没次调用TextOut时，就会调用func 为了不破坏原有功能 请在func中调用func1。如果想截获整个系统的api，你需要做一个全局HOOK 在HOOK的DLL里的初始化时调用本函数。主要代码如下： PROC WINAPI ApiSpy(PSTR pDllUse,PSTR pDllName,PSTR pApiName,PROC pNewPorc) {     PIMAGE_DOS_HEADER   pDosHeader;     PIMAGE_NT_HEADERS   pNTHeader;     PIMAGE_IMPORT_DESCRIPTOR pImportDesc;     PIMAGE_THUNK_DATA   pThunk;     PROC      pOldProc;     DWORD oldpr;     static int Layer = 0;     if ( pDllUse == NULL )              Layer = 0;     pOldProc = GetProcAddress( GetModuleHandle(pDllName),pApiName );     if ( pOldProc == NULL )            return NULL;     pDosHeader = (PIMAGE_DOS_HEADER)GetModuleHandle(pDllUse);         if ( IsBadReadPtr(pDosHeader, sizeof(IMAGE_DOS_HEADER)) )         return NULL;     if ( pDosHeader->e_magic != IMAGE_DOS_SIGNATURE )         return NULL;     pNTHeader = MakePtr(PIMAGE_NT_HEADERS, pDosHeader, pDosHeader->e_lfanew);    if ( IsBadReadPtr(pNTHeader, sizeof(IMAGE_NT_HEADERS)) )         return NULL;    if ( pNTHeader->Signature != IMAGE_NT_SIGNATURE )         return NULL;   pImportDesc = MakePtr(PIMAGE_IMPORT_DESCRIPTOR, pDosHeader,                             pNTHeader->OptionalHeader.                             DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].                             VirtualAddress);     if ( pImportDesc == (PIMAGE_IMPORT_DESCRIPTOR)pNTHeader )         return NULL;  __try{      while ( pImportDesc->Name ){     PSTR pszModName = MakePtr(PSTR, pDosHeader, pImportDesc->Name);     REM("[%s]",pszModName);     if ( stricmp(pszModName, pDllName) == 0 ){      pThunk = MakePtr(PIMAGE_THUNK_DATA, pDosHeader, pImportDesc->FirstThunk);      while ( pThunk->u1.Function ){       REM("[%s:%s]  ?  %s %8x ==> %8x",pDllName,pApiName,pszModName,       // (DWORD)pOldProc,(DWORD)pThunk->u1.Function);       if ( pThunk->u1.Function == (PDWORD)pOldProc ){        if (!VirtualProtect(pThunk, 16, PAGE_READWRITE,&oldpr)){         REM("VirtualProtect False");        }        REM("ApiSpy [%s:%s] OK !",pDllName,pApiName);        pThunk->u1.Function=(PDWORD)pNewPorc;        return pOldProc;       }       pThunk++;        }            return NULL;     }     else{      if ( Layer < __Layer ){       Layer ++;       ApiSpy(pszModName,pDllName,pApiName,pNewPorc);          }     }     pImportDesc++;    }     }  __except(TRUE){   return NULL;  }     return NULL; }

hzlan · 2003-08-08

可惜是C的，如果有Delphi的就好了，不过还是非常感谢!结贴时我会给你加分的，谢!

laoli · 2003-08-08

这个够明白了吧？（delphi的） 关于API HOOK，我相信大家比我知道的多，大家应该记得在DOS中编程，经常都要用截取中断向量的技术，这样我们可以设置新的中断服务程序，因此当一个新的程序调用这个中断向量的时候，它就会先调用我们自己设置的中断程序，然后调用原来的中断程序，这样我们就能够非凡的控制权，许多的病毒程序都是这样的。在WINDOWS中，也可以采用类似的技术，当系统调用某个API函数时，就会先进入我们设置的函数，其工作原理和DOS的中断差不多，这种技术也有很多的名称，像"陷阱技术"，"重入技术"。可我认为API HOOK好一些吧！这些技术再很多的软件中也有应用的，像"金山词霸"就是的了。呵呵~~~不是故意拿金山公司的产品说的啊！这个软件就运用了这个技术，像当你把鼠标指向一个单词，这时就会弹出一个窗口翻译单词了。这也就是用了钩子的原理。说了这么多废话，说正题了，要使自己的代码正确运行，函数必须和要改写的API函数有相同形式的参数。我在程序中，拦截了MessageBoxA和MessageBoxW这两个函数。如: fuction MyBoxA(hwn:hwnd;Iptext

cter;Ipcapion

char;utype:cardinal):interger;stdcall; fuction MyBoxW(hwn:hwnd;Iptext

chter;Ipcapiom

char;utype:cardinal):interger;stdcall; 这里我使用了stdcall关键字，这个我上面已经说了，函数的形参的进出栈顺序要和拦截的函数一样，在WIN32中并不允许直接修改内存中的代码，但可以调用一个函数来运用：WriteProcessMemory。当然有的人问这个不能改写，可我用着很好！也许用它会有些bug，可我不知道，知道的人请给我来信。 在PE文件中，当你呼叫另一模块中的函数列如：USER32.DLL中的GetMessage)，编译出来的CALL指令并不会吧控制权直接传给DLL里的函数，而是传给了JMP DWORD PTR [XXXXXXXXX]指令，[XXXXXXXXXX]里有该函数的真正地址（进入点），要得到API函数，可以这样写：Address:=@MessageBoxA。像上面说的那样，这里只得到了一个跳转的指令，后面的MessageBoxA才是代码开始的地方。下面的程序我自己定义了一个结构（使用了packed关键字） TlmportCode =packed record     Jumplnstruction: Word; //是$25FF，JUMP指令 AddressOfPointer ToFunction: PPointer;//真正开始的地址 end; PlmportCode = ^TlportCode; 这里，Ppointer =^pointer ;用下面函数返回函数的真正地址： function TrueFunctionAddress(func: Pointer): Pointer; var   Code: PlmportCode; Begin   Result:= func;   if func = nil then exit;   try    Code := func;    if (Code.jumplnstruction = $25FF) then begin      Result := Code.AddressOfPointer ToFunction^;    end;    except      Result :=nil;   end; end; 这样，只要用自己的函数的地址代替它就可以了。替换函数： Procedure PermuteFunction(OldFunc

pointer; NewFunc

oiner); var   written: DWORD; begin   WriteProcessMemory(GetCurrentProcess,OldFunc,@NewFunc,4,written); end; 新建一个API HOOK，把上面的保存就可以了。 新建一个Application Try1,主FORM的单元名称就用TRYUNIT1。把上面的HOOK加进来，再新建一个UNIT MESS，添加下面的代码： unit mess interface uses    Windows,Message,SysUtils,Classes,APIHook; procedure API_Hookup; procedure Un_API_Hook; var    FuncMessageboxA,FuncMessagew;PlmportCode; implementation type    TmessageA = function(hwn: hwnd; Iptext: pchar; Ipcapion

char; utype: cardinal): interger;stdcall;    TmessageW = function(hwn: hwnd; Iptext: pchar; Ipcapion

char; utype: cardinal): interger;stdcall; var    OldMessageBoxA: TmessageA;    OldMessageBoxW: TmessageW; functionj MyBoxA (hwn: hwnd; Iptext: pchar; Ipcapion

char; utype: cardinal): interger;stdcall; begin result :=OldMessageBoxA(hwn,'Succes Hook A!', Ipcapion,utype); end; functionj MyBoxW (hwn: hwnd; Iptext: pchar; Ipcapion

char; utype: cardinal): interger;stdcall; result :=OldMessageBoxW(hwn,'成功挂上W！'Ipcapion,utype); end; procedure API_Hookup; begin    if @OldMessageBoxA = nil then @OleMessageBoxA = TrueFunctionAddress(@messageboxA);    if @OldMessageBoxW = nil then @OleMessageBoxW = TrueFunctionAddress(@messageboxW); PermuteFunction(FuncMessageboxA,AddressOfPointerToFunction,@MyBoxA); PermuteFunction(FuncMessageboxW,AddressOfPointerToFunction,@MyBoxW); end; procedure Un_API_Hook; begin   if @OldMessageBoxA <> nil then begin          PermuteFunction(FuncMessageboxA,AddressOfPointer ToFunction,@OldMessageboxA);          PermuteFunction(FuncMessageboxW,AddressOfPointer ToFunction,@OldMessageboxW);   end; end; initialization    FundMessageboxA := @MeesageboxA;    FundMessageboxW := @MeesageboxW; end; 在主窗体中添加三按钮，添加Onclick事件的代码，如下： procedure TForm1.Button1Click( Sender: TObject); begin    API_Hook; end; procedure TForm1.Button3Click( Sender: TObject);    Un_API_Hook; end; procedure TForm1.Button2Click( Sender: TObject); begin   MessageBoxA(Form1.Handle,'NO HOOK UP A','MessageBoxA',MB_OK);   MessageBoxW(Form1.Handle,'NO HOOK UP W','MessageBoxW',MB_OK);   MessageBox (Form1.Handle,'NO HOOK UP BOX','MessageBox',MB_OK); end; 先运行TRY1，再运行TestTry。看看结果，APIHook仅仅再TRY1中挂上了，并没有在所以的系统进程中挂上，这个时想想鼠标钩子的时候做法，用SetWindowsHookEx挂上鼠标钩子，当其它的进程发出鼠标消息的时候，我们的程序就会拦截到并做出响应，还可以用UpHooklWindowsHookEx解除鼠标钩子，这样，我们就知道了，应该为我们的函数挂上钩子，当然你要知道鼠标钩子有各种的消息响应其它进程。有两种方法，一种是模仿SetWindowsHookEx,编制自己的MySetWindowsHookEx。还有一种也是WINDOWS所提供的另一个函数：GetMsgProc。这个函数在DELPHI帮助里说的很清楚得了。我们的目的也就是在动态链接库中挂上WH_GETMESSAGE消息钩子。当其它进程发出这个函数的时候，就会加载我们的动态链接库，如果我们的DLL加载时自动运行API_Hook,就可以让其它进程挂上我们的API Hook了

hzlan · 2003-08-08

接受答案了.

怎样Hook系统函数？？？我想Hook EndDoc函数!(200分)

hzlan

Unregistered / Unconfirmed

hzlan

Unregistered / Unconfirmed

laoli

Unregistered / Unconfirmed

hzlan

Unregistered / Unconfirmed

laoli

Unregistered / Unconfirmed

hzlan

Unregistered / Unconfirmed

Similar threads