陷阱式API HOOK后如何恢复原函数入口 ( 积分: 30 )

sy0116 · 2007-05-01

我用以下代码HOOK CreateProcessA函数，但是发现HOOK过后我也不能用CreateProcess了，请问如何才能正确恢复原函数的入口 unit APIhook; interface uses   Windows; type   MyCreateProcessA=function(lpApplicationName: PChar; lpCommandLine: PChar;   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;   lpCurrentDirectory: PChar; const lpStartupInfo: TStartupInfo;   var lpProcessInformation: TProcessInformation): BOOL; stdcall;   TJump=packed record     MovEAX:Byte;     Addr:MyCreateProcessA;     JmpEAX:Word;     resvered:Byte;   end; var   OldJmp:TJump;   hDll:THandle;   pOldCreateProcess

ointer;   OriCreateProcess:MyCreateProcessA;   crd:Cardinal; procedure HookCreateProcess; implementation function SyCreateProcessA(lpApplicationName: PChar; lpCommandLine: PChar;   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;   lpCurrentDirectory: PChar; const lpStartupInfo: TStartupInfo;   var lpProcessInformation: TProcessInformation): BOOL; stdcall; begin   SetWindowText(FindWindow('tform1','form1'),lpCommandLine);   WriteProcessMemory(GetCurrentProcess,pOldCreateProcess,@OldJmp,8,crd);//回复原函数前八个字节，但没成功   Result:=CreateProcess(lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,                  bInheritHandles,dwCreationFlags,lpEnvironment,lpCurrentDirectory,                  lpStartupInfo,lpProcessInformation); end; procedure HookCreateProcess; var   DrComJmp:TJump; begin   DrComJmp.MovEAX:=$B8;   DrComJmp.JmpEAX:=$E0FF;   DrComJmp.Addr:=@SyCreateProcessA;   hDll:=GetModuleHandle(kernel32);   pOldCreateProcess:=GetProcAddress(hDll,'CreateProcessA');   @OriCreateProcess:=pOldCreateProcess;   ReadProcessMemory(GetCurrentProcess,pOldCreateProcess,@OldJmp,8,crd);//在此处记下原函数的入口前八个字节   WriteProcessMemory(GetCurrentProcess,pOldCreateProcess,@DrComJmp,8,crd); end; end.

xawangting · 2007-05-01

试试afxcodehook.pas中的unhookcode是否能还原,不过这个单元在挂钩在XP下面会报错,是什么内存不为read

白河愁 · 2007-05-03

这些hook的代码都有不同程度的问题。

sy0116 · 2007-05-03

我不想用afxcodehook.pas 我有更好的办法，还可以避免重入，但是我现在就想知道为什么这样不行

白河愁 · 2007-05-03

你想知道的话用 ctrl+alt+c 然后按 步进就知道了。

sy0116 · 2007-05-04

ctrl+alt+c一点反应也没有啊

takdick · 2007-05-04

呵呵,sy0116的問題和我一樣,白河愁給我的最后回覆是: 写回的时候地址被破坏了,API一般都是 0x7xxxxxxx , 2cacb54 是堆栈地址,看看什么地方破坏了。   而我再問如何把函數地址(0x7xxxxxxx)以string形式顯示出來 BaseAddress: array [0..2] of Pointer;  //BaseAddress如何轉換成string? OldProc: array [0..2] of array [0..7] of Byte;  //OldProc如何轉換成string?   因為我不知道如何查在什麼地方破壞了原函數地址,所以想通過顯示為string觀察該地址是在哪裡被修改了.

xawangting · 2007-05-04

"我不想用afxcodehook.pas 我有更好的办法，还可以避免重入，但是我现在就想知道为什么这样不行  " 能否提供一些你的代码给我,我也不想用Afxcodehook的,可没有办法,研究了好多天自己写的还不如afxcodehook的好用,所以只好作罢,主要是挂钩Createprocess这个函数时打开外部程序会报错:什么指令引用的内存不为read,你可以看看这个代码,我改了一 下:http://www.delphibbs.com/delphibbs/DispQ.asp?LID=3707408报的错少了,但一些程序比如打开winrar  mmc第一次运行都会报错,不知道为什么本人不懂汇编,所调试了半天也是一头污水,我的邮箱:xawangting@126.com

白河愁 · 2007-05-04

to takdick:   如果要看,那在运行中按 ctrl+Alt+c 直接看内存就是了。

sy0116 · 2007-05-04

我的代码在http://www.delphibbs.com/delphibbs/dispq.asp?lid=3671817的最下面 Hook的是MessageBoxA，改成CreateProcess也简单，最好把里面所有的CreateFileMapping换成VirtualAlloc，CopyMemory换成WriteProcessMemory，否则在部分电脑上会出莫名其妙的问题。这段代码是可以Hook CreateProcessW的，我有一个程序就是用的这样的办法，但是那个里面别的代码太多了单独把API HOOK分出来不太方便所以你就先看看这个吧

sy0116 · 2007-05-04

终于找到问题出在哪里了： 做API Hook首先要把DLL注入到别的进程中去我用的办法是用WH_SHELL钩子钩HSHELL_WINDOWCREATED来实现注入，但是一个程序窗口打开时会钩到多个HSHELL_WINDOWCREATED，所以当钩到第一个HSHELL_WINDOWCREATED时保存下来的原函数入口的8个字节是正确的，但第二次钩到HSHELL_WINDOWCREATED时保存下来的原函数入口8字节就是前一次API Hook修改过的东西了，因此保存下的OldJmp是错误的，因此应该这样修改： procedure HookCreateProcess; var   DrComJmp:TJump; begin   DrComJmp.MovEAX:=$B8;   DrComJmp.JmpEAX:=$E0FF;   DrComJmp.Addr:=@SyCreateProcessA;   hDll:=GetModuleHandle(kernel32);   pOldCreateProcess:=GetProcAddress(hDll,'CreateProcessA');   @OriCreateProcess:=pOldCreateProcess;   if Hooked=False then   begin     Hooked:=True;//Hooked是一全局变量     ReadProcessMemory(GetCurrentProcess,pOldCreateProcess,@OldJmp,8,crd);   end;   WriteProcessMemory(GetCurrentProcess,pOldCreateProcess,@DrComJmp,8,crd); end; end.

白河愁 · 2007-05-04

用这种代码Hook 多个 API 看起来就是恶梦。

sy0116 · 2007-05-04

或许做成一个类会好一点吧，Hook多了确实有点恼火

takdick · 2007-05-04

原來我出現的問題和sy0116有點不同,我在Hook CreateProcessW之後,去開啟其他程序(多次)都能被我的程序攔截到並正常運行,只是當我執行UnHook退出程序後,再去開啟其他程序時就會提示"0x02cacb54"指令參考的"0x02cacb54"記憶體.該記憶體不能為"read" 我的自定義函數和你的有點不同: function MyCreatePW(lpApplicationName: PWideChar; lpCommandLine: PWideChar; //自定義函數     lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;     bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;     lpCurrentDirectory: PWideChar; const lpStartupInfo: TStartupInfo;     var lpProcessInformation: TProcessInformation): BOOL; stdcall; var   nSize: Cardinal; begin   MessageBoxW(0, lpCommandLine ,lpApplicationName , 0);//显示執行程序的命令行和文件名   WriteProcessMemory(ProcessHandle, BaseAddress[0], @OldProc[0], 8, nSize);//這一句是修改成原來函數的地址,讓程序能正常執行   Result := CreateProcessW(lpApplicationName, lpCommandLine, lpProcessAttributes,    lpThreadAttributes, bInheritHandles, dwCreationFlags, lpEnvironment,    lpCurrentDirectory, lpStartupInfo, lpProcessInformation);   WriteProcessMemory(ProcessHandle, BaseAddress[0], @NewPorc[0], 8, nSize);//在程序正常打開後再修改成自定義函數的地址,使程序在下次打開時還能被攔截到 end; 我試用了你的方法,還新增了一地址專門儲存原函數地址,只在UnHook時調用回復,但還是沒用.

sy0116 · 2007-05-04

你确定每个被你HOOK的程序都执行了UnHook么？

delphi5988 · 2007-05-05

我也不知,帮你顶顶

sy0116 · 2007-05-05

多人接受答案了。

陷阱式API HOOK后如何恢复原函数入口 ( 积分: 30 )

sy0116

Unregistered / Unconfirmed

xawangting

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

takdick

Unregistered / Unconfirmed

xawangting

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

takdick

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

delphi5988

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

Similar threads