大家有没有想过,一些系统监控软件是如何得知我们所进行的操作的?杀软启发式分析是如何对病毒行为进行拦截和监控的?外挂又是如何读取到游戏的内部数据的?这些功能的实现,基本都有API HOOK存在。API HOOK分为ring0和ring3层,这里我们以ring3层API HOOK 进行讲解分析。
API HOOK 在ring 3的实现,分为inline 和修改导入表2种方法,所谓inline,是指直接写入并覆盖函数开头字节汇编码的方法,这种方法有一个问题,便是他被杀软重点监控,成功率极低,而修改导入表的方法,则是指直接通过修改导入表,拦截特定函数调用序列的方法,优缺点不一,由于本文只关注过导入表修改法的API HOOK,因此本文重点讲解修改导入表方法。
首先让我们讲讲导入表的结构吧,这种表的目的是记录外部DLL导入函数地址的,通过修改导入表的表项指针, 能够使用户的实际调用序列转入你的函数中,此时对用户来说,你的函数便是他要调用的“API”,映像数据目录的结构如下:
typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
根据这个结构,我们知道,导入表每一个项,有2个数据构成,一个是相对虚拟地址的地址,一个表项的大小,导入表的结构是:
typedef struct _IMAGE_THUNK_DATA32 { union { PBYTE ForwarderString; PDWORD Function; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; } u1; } IMAGE_THUNK_DATA32;
导入表分别记录着:
ForwarderString 指向一个转向者字符串的RVA
Function 被输入的函数的内存地
Ordinal 被输入的API的序数
AddressOfData 指向IMAGE_IMPORT_BY_NAME
首先,第一个问题来了,如何获取IMAGE_DATA_DIRECTORY的指针呢,可以通过ImageDirectoryEntryToData获取,该函数定义为
PVOID WINAPI ImageDirectoryEntryToData( _In_ PVOID Base, _In_ BOOLEAN MappedAsImage, _In_ USHORT DirectoryEntry, _Out_ PULONG Size );
函数一共4个参数分别为一下含义:
Base:映像基地址
MappedAsImage:它为true时,系统将该模块以映像文件的形式映射,否则以数据文件的形式映射。
DirectoryEntry:要获得的段的索引,可以为以下值
Size:这是一个输出参数,表示输出的信息的 大小
根据函数形式,我们将执行
Import=(PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(Module,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&Size);
现在,我们得到了导入表,如果返回值有效,我们将执行一个循环以进行遍历导入表,首先先看看这个循环:
while(Import->Name) { PSTR ModuleName=(PSTR)((PBYTE)Module+Import->Name); if(lstrcmpA(ModuleName,APIModuleName)==0) { PIMAGE_THUNK_DATA Thunk=(PIMAGE_THUNK_DATA)((PBYTE)Module+Import->FirstThunk); while(Thunk->u1.Function) { PROC *Proc=(PROC *)&Thunk->u1.Function; BOOL bFound=(*Proc==APIFunName); if(bFound) { if(!WriteProcessMemory(GetCurrentProcess(),Proc,&Function,sizeof(Function),NULL)&&(ERROR_NOACCESS==GetLastError())) { DWORD OldProtect=0; if(VirtualProtect(Proc,sizeof(Function),PAGE_WRITECOPY,&OldProtect)) { WriteProcessMemory(GetCurrentProcess(),Proc,&Function,sizeof(Function),NULL); VirtualProtect(Proc,sizeof(Function),OldProtect,&OldProtect); } } break; } Thunk++; } } Import++; }
这段代码转换成UML活动图是:
至此,一个API HOOK基本逻辑已经被实现,可是这段代码仅对本程序有效,那么,如何让其他程序有效呢?这就需要DLL注入技术,实现DLL注入的方法很多,可以利用操作系统消息钩子、远程线程注入等多种方法完成注入,温馨提示,要注入到远程进程进行拦截,因为需要DLL注入技术,因此需要将API HOOK 代码写入DLL后,通过远程加载DLL完成拦截操作,是非DLL之前记得恢复API HOOK设置,否则将导致异常。
看到这里,相信大家大致已经知道API HOOK技术实现的具体细节了,现在动动你的手指,相信你也可以自己实现一个API HOOK
本文出自 “欧阳春晖” 博客,请务必保留此出处http://jack960330.blog.51cto.com/1438952/1655030
原文地址:http://jack960330.blog.51cto.com/1438952/1655030