地址:http://bbs.pediy.com/showthread.php?t=44318
汇编ring3下实现HOOK API续之备份函数法
【文章标题】汇编ring3下实现HOOK API续之备份函数法
【文章作者】nohacks(非安全,hacker0058)
【作者主页】nohacks.ys168.com
【文章出处】看雪论坛(bbs.pediy.com)
我曾经写过一编文章,名字叫"汇编ring3下实现HOOK API",里面详细介绍了汇编ring3下实现HOOK API的几种方法,文章中着重介
绍了介绍了"改写内存地址JMP法"的方法,这也是比较通用的一种方法,让我们再来回顾一下改写内存地址JMP法的具体方法::
直接跳转,改变API函数的入口或出口的几个字节,使程序跳转到自己的函数,该方法不受程序加壳的限制。这种技术,说起来也不
复杂,就是改变程序流程的技术。在CPU的指令里,有几条指令可以改变程序的流程:JMP,CALL,INT,RET,RETF,IRET等指令。理
论上只要改变API入口和出口的任何机器码,都可以HOOK,下面我就说说常用的改写API入口点的方法:
因为工作在Ring3模式下,我们不能直接修改物理内存,只能一个一个打开修改,但具体的方法又分成好几种,我给大家介绍几种操
作思路:
<1>首先改写API首字节,要实现原API的功能需要调用API时先还原被修改的字节,然后再调用原API,调用完后再改回来,这样实现有
点麻烦,但最简单,从理论上说有漏HOOK的可能,因为我们先还原了API,如果在这之前程序调用了API,就有可能逃过HOOK的可能!
(2)把被覆盖的汇编代码保存起来,在替代函数里模拟被被覆盖的功能,然后调用原函数(原地址+被覆盖长度).但这样会产生一个问
题,不同的汇编指令长度是不一样的(比如说我们写入的JMP指令占用5个字节,而我们写入的这5个字节占用的位置不一定正好是一个或
多个完整的指令,有可能需要保存7个字节,才不能打乱程序原有的功能,需要编写一个庞大的判断体系来判断指令长度,网上已经有这
样的汇编程序(Z0MBiE写的LDE32),非常的复杂!
(3)把被HOOK的函数备份一下,调用时在替代函数里调用备份函数.为了避免麻烦,可以直接备份整个DLL缺点就是太牺牲内存!
上期我给大家介绍了上面的是第一种方法,最简单但有漏HOOK的可能,今天我们就来说说第3种方法:备份函数法.
我们来看看具体流程:
1.通过GetModuleInformation取得模块信息,也就是DLL的信息,我们来看看它的参数:
invoke GetModuleInformation,WProcess,ModuleHwnd,addr ModuleInformation,size MODULEINFO
<1> WProcess是进程句柄,在本进程可以由GetCurrentProcess返回
<2> ModuleHwnd是模块句柄,由"invoke GetModuleHandle,DllName"取得
<3> ModuleInformation是模块结构,提供一个变量用来装载模块信息
MODULEINFO struct
lpBaseOfDll dword 0 ;模块的地址
SizeOfImage dword 0 ;大小
EntryPoint dword 0 ;入口
MODULEINFO ends
<4>MODULEINFO的大小
2.通过HeapAlloc分配内存块来保存DLL
invoke HeapAlloc, hMainHeap , 0 , ModuleInformation.SizeOfImage ;分配内存块来保存DLL
调用前通过 GetProcessHeap取得 hMainHeap
3.通过WriteProcessMemory拷贝DLL到分配的内存
invoke WriteProcessMemory,WProcess,lpBuffer, \
ModuleInformation.lpBaseOfDll,ModuleInformation.SizeOfImage,0
4.计算用到的API在备份DLL中的地址
备份API地址=分配空间地址+原API地址-DLL模块的地址
5.HOOK API
这个就不说了,和上期一样,我就不重复了.下面是DLL部分的源码:
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>;
; Programmed by hacker0058, nohacks@163.com ;
; Website: http://nohacks.ys168.com ;
; Blog:http://sina.com.cn.nohacks ;
; 汇编(MASM):进程防杀 v1.0 ;
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>;
.486
.model flat,stdcall
option casemap:none
include debug.inc
include windows.inc
include psapi.inc
include windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
includeLib psapi.lib
HOOKAPI struct
a byte 0B8h
PMyapi DWORD 0
d BYTE 0FFh
e BYTE 0E0h
HOOKAPI ends
MODULEINFO struct
lpBaseOfDll dword 0
SizeOfImage dword 0
EntryPoint dword 0
MODULEINFO ends
;子程序声明
HookApi proto :DWORD ,:DWORD,:DWORD,:DWORD,:DWORD,:DWORD
WriteApi proto :DWORD ,:DWORD,:DWORD,:DWORD
NowOpenProcess proto :DWORD ,:DWORD,:DWORD
GetApi proto :DWORD,:DWORD
BakDll proto :DWORD,:DWORD
;已初始化数据
.data
hInstance dd 0
WProcess dd 0
Papi1 DWORD ?
WritBak1 HOOKAPI <>
ApiBak1 db 10 dup(?)
DllName1 db "kernel32.dll",0
ApiName1 db "OpenProcess",0
Dllbase1 DWORD ?
NowDllbase1 DWORD ?
;Dllbase2 DWORD ?
;NowDllbase2 DWORD ?
;未初始化数据
.data?
hHook dd ?
hPid dd ?
;hHwnd dd ?
;程序代码段
.code
;****************************************************************
;DLL入口点
DllEntry proc hInst:HINSTANCE, reason:DWORD, reserved1:DWORD
.if reason==DLL_PROCESS_ATTACH ;当DLL加载时产生此事件
push hInst
pop hInstance
;invoke GetCommandLine
; mov CommandLine,eax ;取程序命令行
invoke GetCurrentProcess ;取进程伪句柄
mov WProcess ,eax
invoke BakDll,addr DllName1,addr Dllbase1 ;备份"kernel32.dll"
mov NowDllbase1,eax
; invoke BakDll,addr DllName2,addr Dllbase2 ;备份 "ueer32.dll"
; mov NowDllbase2,eax
invoke HookApi,addr DllName1,addr ApiName1,addr Papi1,addr NowOpenProcess,addr ApiBak1,addr WritBak1 ;HOOK OpenProcess
.endif
.if reason==DLL_PROCESS_DETACH
invoke WriteApi,WProcess,Papi1, addr ApiBak1 ,8 ;还原API
invoke GetProcessHeap
invoke HeapFree ,eax,0,NowDllbase1 ;释放内存
; invoke VirtualFree,NowDllbase1,0,MEM_RELEASE
.endif
mov eax,TRUE
ret
DllEntry Endp
;****************************************************************
GetMsgProc proc nCode:DWORD,wParam:DWORD,lParam:DWORD
invoke CallNextHookEx,hHook,nCode,wParam,lParam
mov eax,TRUE
ret
GetMsgProc endp
;****************************************************************
InstallHook proc dwProcessId:dword
push dwProcessId
pop hPid
invoke SetWindowsHookEx,WH_GETMESSAGE,addr GetMsgProc,hInstance,NULL
mov hHook,eax
ret
InstallHook endp
UninstallHook proc
invoke UnhookWindowsHookEx,hHook
push eax
invoke WriteApi,WProcess,Papi1, addr ApiBak1 ,8 ;还原API
pop eax
ret
UninstallHook endp
;*****************************************************************
GetApi proc DllNameAddress:DWORD,ApiNameAddress:DWORD
invoke GetModuleHandle,DllNameAddress ;取DLL模块句柄
.if eax==NULL
invoke LoadLibrary ,DllNameAddress ;加载DLL
.endif
invoke GetProcAddress,eax,ApiNameAddress ;取API地址
mov eax,eax
ret
GetApi endp
;*********************************下面是核心部分*****************
HookApi proc DllName:dword,ApiName:dword ,Papi:dword , MyApi:dword ,ApiBak:dword ,WritBak:dword
LOCAL ApiDz
invoke GetApi,DllName,ApiName ;取API地址
.if eax==0
ret
.endif
mov ApiDz,eax ;下面几行是保存API地址
mov ebx,Papi
mov [ebx], eax
invoke ReadProcessMemory,WProcess,ApiDz,ApiBak,8,NULL ;备份原API的前8字节
.if eax==0
ret
.endif
mov eax,WritBak
assume eax:ptr HOOKAPI
push MyApi
pop [eax].PMyapi ;要替代API的函数地址
.if [eax].PMyapi == 0
mov eax,0
ret
.endif
invoke WriteApi,WProcess,ApiDz, WritBak ,size HOOKAPI ;HOOK API
ret
HookApi endp
WriteApi proc Process:DWORD ,Papi:DWORD,Ptype:DWORD,Psize:DWORD
LOCAL mbi:MEMORY_BASIC_INFORMATION
LOCAL msize:DWORD
;返回页面虚拟信息
invoke VirtualQueryEx,Process, Papi,addr mbi,SIZEOF MEMORY_BASIC_INFORMATION
;修改为可读写模式
invoke VirtualProtectEx,Process, mbi.BaseAddress,8h,PAGE_EXECUTE_READWRITE,addr mbi.Protect
;开始写内存
invoke WriteProcessMemory,Process, Papi, Ptype,Psize ,NULL
PUSH eax
;改回只读模式
invoke VirtualProtectEx,Process,mbi.BaseAddress,8h,PAGE_EXECUTE_READ,addr mbi.Protect
pop eax
ret
WriteApi endp
;*******************************************************************
;替代的API,参数要和原来一样
NowOpenProcess proc dwDesiredAccess:DWORD ,bInheritHandle:DWORD ,dwProcessId:DWORD
LOCAL NowApiBase
mov eax,hPid
.if eax==dwProcessId
mov eax,0
ret
.endif
;计算备份DLL中的API地址
mov eax,Papi1
sub eax,Dllbase1
add eax,NowDllbase1
mov NowApiBase,eax
;调用备份DLL中的API
push dwProcessId
push bInheritHandle
push dwDesiredAccess
call NowApiBase
ret
NowOpenProcess endp
BakDll proc DllName:DWORD,Dllbase:DWORD
LOCAL ModuleHwnd,hMainHeap,lpBuffer
LOCAL ModuleInformation: MODULEINFO
invoke GetModuleHandle,DllName
mov ModuleHwnd,eax
.if ModuleHwnd==0
ret
.endif
invoke GetModuleInformation,WProcess,ModuleHwnd,addr ModuleInformation,size MODULEINFO
.if eax ==0
jmp UninstallHook
ret
.endif
;原DLL的基地址
mov eax,Dllbase
assume eax:ptr
push ModuleInformation.lpBaseOfDll
pop [eax]
invoke GetProcessHeap
mov hMainHeap,eax
invoke HeapAlloc, hMainHeap , 0 , ModuleInformation.SizeOfImage ;分配内存块来保存DLL
;invoke VirtualAlloc, 0,ModuleInformation.SizeOfImage,4096,PAGE_EXECUTE_READWRITE
mov lpBuffer,eax
.if lpBuffer==0
jmp UninstallHook
ret
.endif
;备份DLL
invoke WriteProcessMemory,WProcess,lpBuffer, ModuleInformation.lpBaseOfDll,ModuleInformation.SizeOfImage,0
.if eax==0
jmp UninstallHook
ret
.endif
mov eax,lpBuffer
ret
BakDll endp
;*******************************************************************
End DllEntry