api HOOK 代码 ( 积分: 100 )

hkcbz · 2007-03-26

unit APIHook; interface uses   Windows, Classes;     function LocateFunctionAddress(Code: Pointer): Pointer; function RepointFunction(OldFunc, NewFunc: Pointer): Integer; type //定义一个入口结构   PImage_Import_Entry = ^Image_Import_Entry;   Image_Import_Entry = record     Characteristics: DWORD;     TimeDateStamp: DWORD;     MajorVersion: Word;     MinorVersion: Word;     Name: DWORD;     LookupTable: DWORD;   end;   TImportCode = packed record     //定义一个跳转的结构     JumpInstruction: Word; //定义跳转指令jmp     AddressOfPointerToFunction: ^Pointer; //定义要跳转到的函数   end;   PImportCode = ^TImportCode; implementation function LocateFunctionAddress(Code: Pointer): Pointer; var   func: PImportCode; begin   Result := Code;   if Code = nil then exit;   try     func := code;     if func.JumpInstruction = $25FF then       Result := func.AddressOfPointerToFunction^;   except     Result := nil;   end; end; function RepointFunction(OldFunc, NewFunc: Pointer): Integer; var   IsDone: TList;   function RepointAddrInModule(hModule: THandle; OldFunc, NewFunc: Pointer): Integer;   var     Dos: PImageDosHeader;     NT: PImageNTHeaders;     ImportDesc: PImage_Import_Entry;     RVA: DWORD;     Func: ^Pointer;     DLL: PChar;     f: Pointer;     written: DWORD;   begin     Result := 0;     Dos := Pointer(hModule);     if IsDone.IndexOf(Dos) >= 0 then exit;     IsDone.Add(Dos);     OldFunc := LocateFunctionAddress(OldFunc);     if IsBadReadPtr(Dos, SizeOf(TImageDosHeader)) then exit;     if Dos.e_magic <> IMAGE_DOS_SIGNATURE then exit;     NT := Pointer(Integer(Dos) + dos._lfanew);     RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]       .VirtualAddress;     if RVA = 0 then exit;     ImportDesc := pointer(integer(Dos) + RVA);     while (ImportDesc^.Name <> 0) do     begin       DLL := PChar(Integer(Dos) + ImportDesc^.Name);       RepointAddrInModule(GetModuleHandle(DLL), OldFunc, NewFunc);       Func := Pointer(Integer(DOS) + ImportDesc.LookupTable);       while Func^ <> nil do       begin         f := LocateFunctionAddress(Func^);         if f = OldFunc then         begin           WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, 4, written);           if Written > 0 then             Inc(Result);         end;         Inc(Func);       end;       Inc(ImportDesc);     end;   end; begin   IsDone := TList.Create;   try     Result := RepointAddrInModule(GetModuleHandle(nil), OldFunc, NewFunc);   finally     IsDone.Free;   end; end; end. 2 unit HookAPI; interface uses   Windows; function SetHookAPI(TargetModule, TargetProc

char; NewProc: Pointer; var OldProc: Pointer): integer;  stdcall; function UnHookAPI(NewProc, OldProc: Pointer): integer; stdcall; type   TModuleList = array of cardinal;   TImportFunction = packed record          //定义一个跳转的结构     JumpInstruction: Word;                 //定义跳转指令jmp     AddressOfPointerToFunction: ^Pointer;  //定义要跳转到的函数   end;      TImageImportEntry = record               //定义一个入口结构     Characteristics: dword;     TimeDateStamp: dword;     MajorVersion: word;     MinorVersion: word;     Name: dword;     LookupTable: dword;   end; implementation function GetModuleList: TModuleList;  stdcall; var   Module, Base: pointer;   ModuleCount: integer;   lpModuleName: array [0..MAX_PATH] of char;   MemoryBasicInformation: TMemoryBasicInformation; begin                     //枚举模块列表 貌似用HelpAPI弄个快照效果差不多   SetLength(Result, 10);   ModuleCount := 0;   Module := nil;   Base := nil;   while VirtualQueryEx(GetCurrentProcess, Module, MemoryBasicInformation, SizeOf(MemoryBasicInformation)) = SizeOf(MemoryBasicInformation) do   begin     if (MemoryBasicInformation.State = MEM_COMMIT) and (MemoryBasicInformation.AllocationBase <> Base) and (MemoryBasicInformation.AllocationBase = MemoryBasicInformation.BaseAddress) and (GetModuleFileName(dword(MemoryBasicInformation.AllocationBase), lpModuleName, MAX_PATH) > 0) then     begin       if ModuleCount = Length(Result) then SetLength(Result, ModuleCount * 2);       Result[ModuleCount] := dword(MemoryBasicInformation.AllocationBase);       Inc(ModuleCount);     end;     Base := MemoryBasicInformation.AllocationBase;     dword(Module) := dword(Module) + MemoryBasicInformation.RegionSize;   end;   SetLength(Result, ModuleCount); end; function FunctionAddress(Code: Pointer): Pointer;stdcall; begin                     //获得函数真实地址   Result := Code;   if TImportFunction(Code^).JumpInstruction = $25FF then     Result := TImportFunction(Code^).AddressOfPointerToFunction^; end; function HookModules(ImageDosHeader: PImageDosHeader; TargetAddress, NewAddress: Pointer; var OldAddress: Pointer):integer;stdcall; var   ImageNTHeaders : PImageNtHeaders;   ImageImportEntry: ^TImageImportEntry;   ImportCode: ^Pointer;   OldProtect: dword;   EndofImports: dword; begin           //修改一个模块来HookAPI   Result := 0;   OldAddress := FunctionAddress(TargetAddress);      if ImageDosHeader.e_magic <> IMAGE_DOS_SIGNATURE then Exit;   ImageNTHeaders := Pointer(integer(ImageDosHeader) + ImageDosHeader._lfanew);;   if ImageNTHeaders <> nil then   begin     with ImageNTHeaders^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT] do     begin       ImageImportEntry := Pointer(dword(ImageDosHeader) + VirtualAddress);       EndofImports := VirtualAddress + Size;     end;     if ImageImportEntry <> nil then     begin       while ImageImportEntry^.Name <> 0 do       begin         if ImageImportEntry^.LookUpTable > EndofImports then break;         if ImageImportEntry^.LookUpTable <> 0 then         begin           ImportCode := Pointer(dword(ImageDosHeader) + ImageImportEntry^.LookUpTable);           while ImportCode^ <> nil do           begin             if (ImportCode^ = TargetAddress) and VirtualProtect(ImportCode, 4, PAGE_EXECUTE_READWRITE, @OldProtect) then ImportCode^ := NewAddress;             Inc(ImportCode);           end;         end;         Inc(ImageImportEntry);       end;     end;   end; end; function SetHookAPI(TargetModule, TargetProc

char; NewProc: Pointer; var OldProc: Pointer): integer;  stdcall; var  ModuleLoop,i: integer;  Modules: TModuleList;  Module: hModule;  Target: pointer; begin           //实际上就是枚举模块完 一个一个Hook   Result := 0;   Module := GetModuleHandle(pchar(TargetModule));   Modules := GetModuleList;   if Module = 0 then   begin     Module := LoadLibrary(pchar(TargetModule));   end;   Target := GetProcAddress(Module, pchar(TargetProc));   if Target = nil then Exit;   i := High(Modules);   for ModuleLoop := 0 to i do   begin     if (GetVersion and $80000000 = 0) or (Modules[ModuleLoop] < $80000000) then     begin       Result := HookModules(Pointer(Modules[ModuleLoop]), Target, NewProc, OldProc);     end;   end; end; function UnHookAPI(NewProc, OldProc: Pointer): integer; stdcall; var  ModuleLoop: integer;  Modules: TModuleList; begin                   //反Hook一遍就是了   Result := 0;   Modules := GetModuleList;   for ModuleLoop := 0 to High(Modules) do   begin     if (GetVersion and $80000000 = 0) or (Modules[ModuleLoop] < $80000000) then     begin       Result := HookModules(Pointer(Modules[ModuleLoop]), NewProc, OldProc, NewProc);     end;   end; end; end. 请大家一起分析一下,上面两个APIHOOK代码哪个更高效一些,哪个更简洁一些

暗夜中独舞 · 2007-03-26

一个陷阱式一个引入表式？？ 各有各的优势吧

wr960204 · 2007-03-28

正如楼上所说 1是修改导入表跳转地址 2.是修改函数前几个字节跳转到自己的函数. 1.缺点是不能Hook通过GetProcAddress获得的函数地址. 2.缺点是通用一点的话要涉及到机器指令对齐的问题.还有别人要是也Hook的话,多次Hook处理起来很麻烦,退出次序不对的话也会崩溃. 不过鉴于1不能Hook全部的调用方式,我现在基本都改用方案2了

ysp娃娃 · 2007-03-28

收藏了...

gebizhimu · 2007-03-29

hkcbz · 2007-03-29

to: wr960204 2是不是就是所说的陷阱式 如何更好的解决重入的问题,网上许多贴都提过陷阱式API如果有两个以上同时调用将会有问题，不知道是什么问题，请大家断续讨论一下，如何更好的实现APIHOOK，能勾住所有函数

暗夜中独舞 · 2007-03-29

两种办法都有其不足的地方 只能根据实际情况来衡量使用哪一种

Mike1234567890 · 2007-03-29

感觉还是修改引入表要稳定一些

hkcbz · 2007-03-29

的确是这样，但引入表有勾的到的缺点，以前有位网（哪位计不清了）友用陷阱式，把旧函数写入内存映射里了，用时直不用改回原入口，不知道这种方法如何， 贴上代码： DLL的pas文件： unit Unit4; interface uses   Windows,PsAPI; type   mymsgboxa=function(hWnd: HWND; lpText, lpCaption: PAnsiChar; uType: UINT): Integer; stdcall;   Tjump=packed record     Mov:Byte;     addr:mymsgboxa;     JmpEAX:Word;     reservedbyte:Byte;   end; procedure HookEnd; procedure HookApi; var   old,jmp:Tjump;//old：原函数入口结构,jmp:用来替换的结构   processhandle:THandle;   oldmsgboxa

Char;//为什么用pchar?因为pointer不能直接进行加减运算，但pchar可以，这是原函数的地址   hookhd:THandle;   mi:TModuleInfo; procedure load; implementation function mybox(hWnd: HWND; lpText, lpCaption: PAnsiChar; uType: UINT): Integer; stdcall; var   maphd:THandle;   mapaddr

Char;//为什么用pchar?因为pointer不能直接进行加减运算，但pchar可以   myfunc:mymsgboxa; begin   maphd:=OpenFileMapping(FILE_MAP_ALL_ACCESS,true,'syfunc');   mapaddr:=MapViewOfFile(maphd,FILE_MAP_ALL_ACCESS,0,0,0);   @myfunc:=oldmsgboxa - mi.lpBaseOfDll + mapaddr;//拷贝之后的函数地址是这样算出来的   Result:=myfunc(hWnd,'HookAPI暂时成功了，谢谢大家','Hook',uType); end; procedure HookApi; var   DllMoudle:THandle;   dwsize

WORD; begin   processhandle:=GetCurrentProcess;   DllMoudle:=GetModuleHandle('user32.dll');   oldmsgboxa:=GetProcAddress(DllMoudle,'MessageBoxA');   if oldmsgboxa<>nil then   begin     GetModuleInformation(GetCurrentProcess,DllMoudle,@mi,SizeOf(tmoduleinfo));     jmp.Mov:=$B8;     jmp.addr:=@mybox;     jmp.JmpEAX:=$E0FF;     ReadProcessMemory(processhandle,oldmsgboxa,@old,8,dwsize);     WriteProcessMemory(processhandle,oldmsgboxa,@jmp,8,dwsize);   end; end; procedure HookEnd; var   dwsize

WORD; begin   WriteProcessMemory(processhandle,oldmsgboxa,@old,8,dwsize); end; function msghook(ncode,wparam,lparam:Integer):LRESULT;stdcall; begin   hookapi;   Result:=CallNextHookEx(hookhd,ncode,wparam,lparam); end; procedure load; begin   hookhd:=SetWindowsHookEx(WH_GETMESSAGE,@msghook,HInstance,0); end; end. ============================================================ Dll的dpr文件： library Project4; uses   Unit4 in 'Unit4.pas'; {$R *.res} exports   load; begin end. ============================================================ EXE文件： unit t; interface uses   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,   Dialogs, StdCtrls,PsAPI; type   TForm1 = class(TForm)     Button1: TButton;     Button2: TButton;     Button3: TButton;     procedure Button1Click(Sender: TObject);     procedure Button3Click(Sender: TObject);   private     { Private declarations }   public     { Public declarations }   end; var   Form1: TForm1; procedure load;external 'project4.dll'; implementation {$R *.dfm} procedure TForm1.Button1Click(Sender: TObject); var   maphd,msghd:THandle;   msgaddr,naddr

ointer;   mdinfo:TModuleInfo; begin   msghd:=LoadLibrary('user32.dll');   msgaddr:=GetProcAddress(msghd,'MessageBoxA');   GetModuleInformation(GetCurrentProcess,msghd,@mdinfo,SizeOf(mdinfo));   maphd:=CreateFileMapping($ffffffff,nil,PAGE_EXECUTE_READWRITE,0,mdinfo.SizeOfImage,'syfunc');   naddr:=MapViewOfFile(maphd,FILE_MAP_ALL_ACCESS,0,0,0);   CopyMemory(naddr,mdinfo.lpBaseOfDll,mdinfo.SizeOfImage);   load; end; procedure TForm1.Button3Click(Sender: TObject); begin MessageBoxA(0,'ffffff','fffffff',0); end; end. 大家一起看看

白河愁 · 2007-03-29

陷阱式比较好，不过这个代码也太那个了。

hkcbz · 2007-03-30

这代码确实有点，但我们在这里主要是讨论一种思路，代码的优劣暂不评论，希望有过此方面经验的大虾一起来继续讨论

hkcbz · 2007-03-30

to:白河悉大侠 能否把您写APIHOOK的经历及技巧给大家说说，讲讲两种方法的优缺点，及您是如何解决相应弊端的， 另外可否给小弟一份你的APIHOOK控件（源码实在不敢啬求，当然如果你愿意大家学习一下最好了）

hkcbz · 2007-03-31

顶一下

dfghj · 2007-09-22

刚接触hook，看看

api HOOK 代码 ( 积分: 100 )

hkcbz

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

wr960204

Unregistered / Unconfirmed

ysp娃娃

Unregistered / Unconfirmed

gebizhimu

Unregistered / Unconfirmed

hkcbz

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

Mike1234567890

Unregistered / Unconfirmed

hkcbz

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

hkcbz

Unregistered / Unconfirmed

hkcbz

Unregistered / Unconfirmed

hkcbz

Unregistered / Unconfirmed

dfghj

Unregistered / Unconfirmed

Similar threads