极难！hook大师刘麻子请进：hookapi的重入问题。 ( 积分: 300 )

lich · 2005-10-08

应该是允许重入的, 但是要避免公共资源冲突 不编写 DLL 应该也是可以实现这种 API 的HOOK 的吧

tt.t · 2005-10-09

hzm7512,大概是你说的那样。看一下有关pe结构的资料，可能你能更清楚我说的意思。 另外，如果你是用注入dll的方式去“修改旧的api地址所指向函数的地址”，不需要用WriteProcessMemory，先virtualprotect在用指针直接修改即可。

hzm7512 · 2005-10-09

to tt.t&lichengbin 我使用引用表式拦截shfileoperationw这个api,根本没有反映呀.怎么搞的?两位大侠能不能看看我的源码到底出现什么问题呀.

sundata · 2005-10-09

增加不少见识，HOOK

lich · 2005-10-09

wsock32.dll 和 ws2_32.dll 中的一些函数的地址居然是相同的，真是奇怪了

lich · 2005-10-09

使用陷阱式 APIHook 的一种新的思路： 调用自定义代码后，不需要再恢复原来的代码， 将原来的代码挪至其它地方， 这样，也就不存在函数的重入的冲突问题了， 也不需要使用临界区等技术了 经过测试，这种方法对很多API函数都是可行的

lich · 2005-10-09

而且这种方法可以用非DLL 的方式来完成， 可以采用远程线程注入的方法来安装自己的代码

lichengbin · 2005-10-09

楼主上面贴的应该不是引入表式APIHook的源代码吧，呵呵，没看到一丁点的跟引入表相关的代码 引入表式APIHook的代码可以参考：刘麻子大虾的《Windows核心编程》附书代码Pascal版 http://www.2ccc.com/article.asp?articleid=2303 第22章

tt.t · 2005-10-10

lich, "wsock32.dll 和 ws2_32.dll 中的一些函数的地址居然是相同的，真是奇怪了" 这是因为wsock32.dll中一些函数在导出表中标明了是forward，其实际实现是在s2_32.dll中。pe格式导出表部分有说明。 "调用自定义代码后，不需要再恢复原来的代码，将原来的代码挪至其它地方" 这种方法也有局限性，必须对挪走的代码进行分析，如果挪走的代码有对自身绝对地址的访问，则必须修正为新的地址。或者是函数的长度小于5字节，则根本无法使用陷阱式hook。当然，这些都属于极端情况，一般不会发生。

sbzldlb · 2005-10-10

unit Unit1; interface uses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  Dialogs, StdCtrls; type  TInstallHook=function :Boolean;Stdcall;  TUnHook=function :Boolean;Stdcall;  PJmpCode = ^TJmpCode;  TJmpCode = packed record    JmpCode: BYTE;    Address: TInstallHook;  end;  TForm1 = class(TForm)    Button1: TButton;    Memo1: TMemo;    procedure Button1Click(Sender: TObject);    procedure FormShow(Sender: TObject);  private    { Private declarations }    InstallHook,InstallHook1:TInstallHook;    UnHook:TUnHook;    JmpCode:TJmpCode;  public    { Public declarations }  end; var  Form1: TForm1; implementation {$R *.dfm} function ElevPrivileges(): Boolean; const  ADJUST_PRIV      = TOKEN_QUERY or TOKEN_ADJUST_PRIVILEGES;  PRIV_SIZE        = SizeOf(TTokenPrivileges); var  Len              : DWORD;  TokenPriv, Dummy : TTokenPrivileges;  Token            : THandle; begin  Result:=False;  try    if not OpenProcessToken(GetCurrentProcess(), ADJUST_PRIV, Token) then Exit;    if not LookupPrivilegeValue(nil,                               'SeDebugPrivilege',                               TokenPriv.Privileges[0].Luid) then exit;    TokenPriv.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;    TokenPriv.PrivilegeCount := 1;    if not AdjustTokenPrivileges(Token, False, TokenPriv, PRIV_SIZE,Dummy, Len) then  Exit;    Result:=True;  except  end;     end; function MyInstallHook:Boolean;Stdcall; begin  form1.Memo1.Text:='ok';  result:=true; end; procedure TForm1.Button1Click(Sender: TObject); var  DllHandle:LongWord;  dwSize: cardinal; begin  DllHandle:=LoadLibrary('Hook.dll');  if DllHandle>0 then  begin    @InstallHook:=GetProcAddress(DllHandle,'InstallHook');    @UnHook:=GetProcAddress(DllHandle,'UnHook');    @InstallHook1:=GetProcAddress(DllHandle,'InstallHook1');    if (@InstallHook=Nil) or (@UnHook=nil) or (@InstallHook1=Nil) then    begin      showmessage('No Add');      Exit;    end else    begin      ReadProcessMemory(OpenProcess(PROCESS_ALL_ACCESS, True, GetCurrentProcessId),        @InstallHook,        @JmpCode,        5,        dwSize);      JmpCode.JmpCode:=StrToInt('$B8');      JmpCode.Address := @InstallHook1;            WriteProcessMemory(OpenProcess(PROCESS_ALL_ACCESS, True, GetCurrentProcessId),        @InstallHook,        {@InstallHook1}@JmpCode,        {Integer(@InstallHook1)-Integer(@InstallHook)}5,        dwSize);      sleep(100);      InstallHook;    end;  end else  begin                showmessage('no Dll');    Exit;  end; end; procedure TForm1.FormShow(Sender: TObject); begin ElevPrivileges; end; end. 我的好像这样也没有用啊

hzm7512 · 2005-10-10

很高兴这么多高手来指导,都是排名非常靠前的前辈,有你们的指导我估计,我很快能解决问题了.

sbzldlb · 2005-10-10

其实我也是才开始研究这个，挫折重重啊

sbzldlb · 2005-10-10

搞定了： unit Unit1; interface uses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  Dialogs, StdCtrls; type  TInstallHook=function :Boolean;Stdcall;  TUnHook=function :Boolean;Stdcall;  PJmpCode = ^TJmpCode;  TJmpCode = packed record    JmpCode: BYTE;    Address: Dword;  end;  TForm1 = class(TForm)    Button1: TButton;    Memo1: TMemo;    procedure Button1Click(Sender: TObject);    procedure FormShow(Sender: TObject);  private    { Private declarations }    InstallHook,InstallHook1:TInstallHook;    UnHook:TUnHook;    JmpCode:TJmpCode;  public    { Public declarations }  end; var  Form1: TForm1; implementation {$R *.dfm} function ElevPrivileges(): Boolean; const  ADJUST_PRIV      = TOKEN_QUERY or TOKEN_ADJUST_PRIVILEGES;  PRIV_SIZE        = SizeOf(TTokenPrivileges); var  Len              : DWORD;  TokenPriv, Dummy : TTokenPrivileges;  Token            : THandle; begin  Result:=False;  try    if not OpenProcessToken(GetCurrentProcess(), ADJUST_PRIV, Token) then Exit;    if not LookupPrivilegeValue(nil,                               'SeDebugPrivilege',                               TokenPriv.Privileges[0].Luid) then exit;    TokenPriv.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;    TokenPriv.PrivilegeCount := 1;    if not AdjustTokenPrivileges(Token, False, TokenPriv, PRIV_SIZE,Dummy, Len) then  Exit;    Result:=True;  except  end;     end; function MyInstallHook:Boolean;Stdcall; begin  form1.Memo1.Text:='ok';  result:=true; end; procedure TForm1.Button1Click(Sender: TObject); var  DllHandle:LongWord;  dwSize: cardinal; begin  DllHandle:=LoadLibrary('Hook.dll');  if DllHandle>0 then  begin    @InstallHook:=GetProcAddress(DllHandle,'InstallHook');    @UnHook:=GetProcAddress(DllHandle,'UnHook');    @InstallHook1:=GetProcAddress(DllHandle,'InstallHook1');    if (@InstallHook=Nil) or (@UnHook=nil) or (@InstallHook1=Nil) then    begin      showmessage('No Add');      Exit;    end else    begin      ReadProcessMemory(OpenProcess(PROCESS_ALL_ACCESS, True, GetCurrentProcessId),        @InstallHook,        @JmpCode,        5,        dwSize);      JmpCode.JmpCode:=233;      //JmpCode.Address := @InstallHook1;      JmpCode.Address := Integer(@InstallHook1)-Integer(@InstallHook) -5;      WriteProcessMemory(OpenProcess(PROCESS_ALL_ACCESS, True, GetCurrentProcessId),        @InstallHook,        {@InstallHook1}@JmpCode,        {Integer(@InstallHook1)-Integer(@InstallHook)}5,        dwSize);      sleep(100);      InstallHook;    end;  end else  begin                showmessage('no Dll');    Exit;  end; end; procedure TForm1.FormShow(Sender: TObject); begin ElevPrivileges; end; end. 我的DLL: library Hook; { Important note about DLL memory management: ShareMem must be the  first unit in your library's USES clause AND your project's (select  Project-View Source) USES clause if your DLL exports any procedures or  functions that pass strings as parameters or function results. This  applies to all strings passed to and from your DLL--even those that  are nested in records and classes. ShareMem is the interface unit to  the BORLNDMM.DLL shared memory manager, which must be deployed along  with your DLL. To avoid using BORLNDMM.DLL, pass string information  using PChar or ShortString parameters. } uses  SysUtils,  windows,  Messages,  Controls,  ExtCtrls; var  HookHandle:LongWord; {$R *.res} function replace:Boolean; begin  if Not FileExists('abcd.txt') then    begin      FileCreate('abcd.txt');    end;  Result:=True; end; function InstallHook:Boolean;Stdcall; begin  if Not FileExists('abc.txt') then    begin      FileCreate('abc.txt');    end;  Result:=True; end; function InstallHook1:Boolean;Stdcall;  type TInstallHool=Function:Boolean; begin  TInstallHool(@replace);  result:=True; end; function UnHook:Boolean;Stdcall; begin  UnhookWindowsHookEx(HookHandle);  Result:=True; end; exports  InstallHook,UnHook,InstallHook1;   begin end.

tt.t · 2005-10-10

看下这个可能有帮助 http://www.delphibbs.com/delphibbs/dispq.asp?lid=2878699

sbzldlb · 2005-10-10

可以比较一下 InstallHook函数在HOOK前后生成两个不同的文件abc.text和abcd.txt

刘麻子 · 2005-10-10

俺不是大师, 俺也不是大虾, 俺很惭愧, 俺来听课, 拜托别砸俺, [

]

lich · 2005-10-10

tt.t : 原来如此, 以前没有留意到这种现象 >>> "调用自定义代码后，不需要再恢复原来的代码，将原来的代码挪至其它地方" 这种方法也有局限性，必须对挪走的代码进行分析，如果挪走的代码有对自身绝对地址的访问，则必须修正为新的地址。或者是函数的长度小于5字节，则根本无法使用陷阱式hook。当然，这些都属于极端情况，一般不会发生。 >>> 局限性是有的,但是不可否认,陷阱式的HOOK应该是最好的方式 函数长度小于5个字节的话,肯定会包含对其它函数的调用,或相对跳转 可以在HOOK子函数,或者在跳转的目标地址进行HOOK 如果一个函数只有5个字节的机器码, 又没有跳转和调用, 那么这样的一个函数,恐怕我们也是不需要对其进行HOOK 的吧? 但是如果使用代码恢复的方法,会带来函数重入和互斥的问题 复制代码到别的地方,只要策略得当, 根本不需要对代码指令进行分析,以及对相对地址和绝对地址作出修正 方法简单, 但是却能解决最棘手的函数重入的问题,楼主的难点也就在这里 我已经验证了其可行性,代码也很简单

tt.t · 2005-10-10

”局限性是有的,但是不可否认,陷阱式的HOOK应该是最好的方式“ 这个基本同意。 "复制代码到别的地方,只要策略得当,根本不需要对代码指令进行分析,以及对相对地址和绝对地址作出修正" 这点不能同意。 上面说的例子都属于极端情况，如果仅仅将函数第一条指令替换为一个长跳转的话，一般不会发生。 其实我考虑这两点主要是因为某些壳会对其用到的函数进行检测，如果函数第一个字节为E9或函数前n条指令中有长跳转，则认为函数已被hook，拒绝执行或出错。这时就需要用垃圾代码替换函数的前n条指令，在垃圾代码的最后在跳到我们的函数，以躲过检测。这时因为替换了很多指令，就需要对挪走的指令进行分析、修改，才能确保不会出错。 所以，要不要分析就要看希望做什么样的程序了。如果想做通用的api监视软件，则必须考虑壳的检测问题，如果是针对特定程序则只需采用刚刚够用的方法就可以了。 另，忽然想到长跳转指令好像不一定非E9开头，可能可以用其他形式的长跳转来欺骗壳的检测。

lich · 2005-10-10

hehe, 如果同时还要考虑加壳软件的防HOOK 技术 那只能针对使用的防止HOOK 的方法了, 不过不是有句话说: 道高一尺,魔高一丈 也许没有直接的方法,但会有其它的方法 我的这个方法也仅仅是为了处理被HOOK函数的重入问题, 对于程序中使用的防止HOOK的技术,没有考虑 我想除了我说的方法之外,别的HOOK API的方法,也存在同样的问题吧

lich · 2005-10-10

HOOK 的远跳转指令,不一定要放在函数的开头, 只要放在一个合适的位置就可以了, 那当然就需要对指令代码进行分析了, 最起码也要知道你选择的位置不能把一条指令给拆开或破坏了, 需要保持指令数据的完整性

极难！hook大师刘麻子请进：hookapi的重入问题。 ( 积分: 300 )

lich

Unregistered / Unconfirmed

tt.t

Unregistered / Unconfirmed

hzm7512

Unregistered / Unconfirmed

sundata

Unregistered / Unconfirmed

lich

Unregistered / Unconfirmed

lich

Unregistered / Unconfirmed

lich

Unregistered / Unconfirmed

lichengbin

Unregistered / Unconfirmed

tt.t

Unregistered / Unconfirmed

sbzldlb

Unregistered / Unconfirmed

hzm7512

Unregistered / Unconfirmed

sbzldlb

Unregistered / Unconfirmed

sbzldlb

Unregistered / Unconfirmed

tt.t

Unregistered / Unconfirmed

sbzldlb

Unregistered / Unconfirmed

刘麻子

Unregistered / Unconfirmed

lich

Unregistered / Unconfirmed

tt.t

Unregistered / Unconfirmed

lich

Unregistered / Unconfirmed

lich

Unregistered / Unconfirmed

Similar threads