Inline Hook(ring3)的简单C++实现方法

C++的Inline Hook代码,采用了备份dll的方法,因此在自定义的函数中可以直接调用在内存中备份的dll代码,而不需要把函数头部改来改去。用SetWindowsHookEx程序的稳定性应该会增加许多。

需要注意的是,例子中没有把原函数的头部几个字节改回去是因为,程序很简单,仅仅测试了效果后便可以退出,没有其他的功能。实际应用中,还要在你注入的dll模块卸载时,把原函数的头几个字节改回去,以免影响到程序继续运行的稳定性。(因为注入的程序不是自己的,我们当然不可能知道它到底在何时、有多少个我们所Hook的函数的调用)。

具体实现代码如下:

#include <ntifs.h>
#include <windef.h>
#include <stdio.h>
#pragma comment(lib, "psapi.lib")
//BYTE Org_Code[7];// 备份dll法, 因此就可以不需要
BYTE New_Code[7];
HMODULE hDllHandle = NULL; // 被 Hook 的 DLL 句柄
HANDLE hProcess = NULL; // 进程句柄
LPVOID _MessageBoxA = NULL; // MessageBoxA() 原地址
DWORD _ShowMessage = NULL; // 自定义函数地址
void InlineHook();
//void UnInlineHook(); // 备份dll法, 因此就可以不需要
void BackupDll();
// 自定义函数
int WINAPI ShowMessage(HWND, LPTSTR, LPTSTR, UINT);
void main()
{
  hProcess = ::GetCurrentProcess();
  hDllHandle = ::LoadLibrary("user32.dll");
  if (hDllHandle == NULL)
    return;
  _MessageBoxA = (LPVOID)::GetProcAddress(hDllHandle, "MessageBoxA");
  if (_MessageBoxA == NULL)
    return;
  BackupDll();
  InlineHook();
  char szText[256];
  char szTitle[256];
  memset(szText, 0x0, sizeof(szText));
  memset(szTitle, 0x0, sizeof(szTitle));
  // 下列循环接收来自于用户输入的字符, 并使用 MessageBoxA()
  //来显示, 尝试下, 看看发生了什么. :)
  while (TRUE)
  {
    printf("Message Text: ");
    scanf("%s", szText);
    printf("Message Title: ");
    scanf("%s", szTitle);
    MessageBoxA(NULL, szText, szTitle, 0);
    printf("\n");
  }
  return;
}
void InlineHook()
{
  DWORD _JmpAddr = (DWORD)ShowMessage;
  // 构造新头部代码
  New_Code[0] = 0xB8;            //
  memcpy(&New_Code[1], &_JmpAddr, 4);    // mov eax, _JmpAddr
  New_Code[5] = 0xFF;            //
  New_Code[6] = 0xE0;            // jmp eax
  DWORD dwOldProtect = 0;
  // 去内存保护
  ::VirtualProtect(_MessageBoxA, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);
  // 把新代码写入 MessageBoxA() 的头部, 这也是Inline Hook
  //的核心所在.
  ::WriteProcessMemory(
    hProcess,
    _MessageBoxA,
    New_Code,
    sizeof(New_Code),
    NULL
  );
  // 写内存保护
  ::VirtualProtect(_MessageBoxA, 7, dwOldProtect, &dwOldProtect);
  return;
}
/*
void UnInlineHook() // 备份dll法, 因此就可以不需要
{
  return;
}
*/
int WINAPI ShowMessage(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType)
{
  typedef int WINAPI SHOWMSG(HWND hWnd, LPTSTR lpText, LPTSTR lpTitle, UINT uType);
  SHOWMSG *pShowMsg = (SHOWMSG*)_ShowMessage;
  // 废弃原先传入的参数, 自己定义对话框文本
  char buf[1024];
  ::wsprintf(buf, "The Text:"%s" was hacked by miku_fl", lpText);
  return pShowMsg(hWnd, buf, lpTitle, MB_ICONINFORMATION | MB_TOPMOST);
}
void BackupDll()
{
  MODULEINFO  Mdl_Info;
  LPVOID    lpNewDLL  =  NULL;
  // 获取模块信息
  ::GetModuleInformation(hProcess, hDllHandle, &Mdl_Info, sizeof(Mdl_Info));
  // 分配内存空间, 用于备份 dll (这样一来就不需要恢复原头部代码, 调用
  //完之后再重新写自定义的头部代码).
  lpNewDLL = ::VirtualAllocEx(
    hProcess,
    NULL,
    Mdl_Info.SizeOfImage,
    MEM_COMMIT,
    PAGE_EXECUTE_READWRITE
  );
  if (lpNewDLL == NULL)
    return;
  // 在分配的内存中写入 dll 文件的内容
  ::WriteProcessMemory(hProcess, lpNewDLL, Mdl_Info.lpBaseOfDll, Mdl_Info.SizeOfImage, NULL);
  // 计算自定义函数的地址.
  // 公式: 自定义地址 = 原API函数地址 - 模块基址 + 分配内存的基址
  _ShowMessage = (DWORD)_MessageBoxA - (DWORD)Mdl_Info.lpBaseOfDll + (DWORD)lpNewDLL;
  return;
}

希望本文所述程序实例能对大家有所帮助。

(0)

相关推荐

  • C++封装IATHOOK类实例

    本文实例讲述了C++封装IATHOOK类的实现方法.分享给大家供大家参考.具体方法如下: 1. 定义成类的静态成员,从而实现自动调用 复制代码 代码如下: static CAPIHOOK sm_LoadLibraryA;  static CAPIHOOK sm_LoadLibraryW;  static CAPIHOOK sm_LoadLibraryExA;  static CAPIHOOK sm_LoadLibraryExW;  static CAPIHOOK sm_GetProcAddres

  • C++封装线程类的实现方法

    本文实例讲述了C++封装线程类的实现方法.分享给大家供大家参考.具体方法如下: 复制代码 代码如下: // 给主窗口的通知消息  #define WM_CUTTERSTART WM_USER + 100    // wParam == xxx  lParam==xxxx    /*  外面调用这个类时,只需要IsRunning() Startxxx(xxx) Suspendxxx()   Resumexxx() Stopxxx()  */    /*  m_bContinue在真正的工作代码Do

  • C++实现inline hook的原理及应用实例

    本文实例简述了C++实现inline hook的原理及应用,对于大家更好的理解inline hook原理及其应用有很大的帮助.具体内容如下: 一.Inline Hook简介: 1.INLINE HOOK原理: Inline Hook通过硬编码的方式向内核API的内存空间(通常是开始的一段字节,且一般在第一个call之前,这么做是为了防止堆栈混乱)写入跳转语句,这样,该API只要被调用,程序就会跳转到我们的函数中来,我们在自己写的函数里需要完成3个任务: 1)重新调整当前堆栈.程序流程在刚刚跳转的

  • C++进程共享数据封装成类实例

    本文实例讲述了C++进程共享数据封装成类的方法,分享给大家供大家参考.具体方法如下: ShareMemory.cpp源文件如下: 复制代码 代码如下: #include "ShareMemory.h"    CShareMemory::CShareMemory(const    char* pszMapName, int nFileSize, BOOL bServer):m_hFileMap(NULL),m_pBuffer(NULL)  {      if (bServer) //是服

  • C++基于hook iat改变Messagebox实例

    本文实例讲述了C++基于hook iat改变Messagebox的方法,分享给大家供大家参考.具体方法如下: 步骤: 1. 定义原始函数类型的写法 复制代码 代码如下: //定义函数原型  typedef int (WINAPI *PFNMESSAGEBOX)(HWND hWnd,  LPCTSTR lpText,  LPCTSTR lpCaption,  UINT uType);  //保存原始的MessageBox地址,注意这里  PROC g_orgProc = (PROC)Message

  • C++内核对象封装单实例启动程序的类

    复制代码 代码如下: //File Name: Singleton.h#pragma once class Singleton{private:    CString strGUID;    CString strMapFileGUID; HANDLE m_hSingleton; public:    Singleton();    ~Singleton();public:    void AppStart (const HWND & hWnd) const;}; 复制代码 代码如下: //Fi

  • C++实现修改函数代码HOOK的封装方法

    本文实例讲述了C++实现修改函数代码HOOK的封装方法,分享给大家供大家参考.具体实现方法如下: 一.对外的接口如下: 1. 类初始化时对函数HOOK 2. 取消挂钩: void UnHook(); 3. 重新挂钩: void ReHook(); 在初始化时HOOK的代码: 复制代码 代码如下: *(DWORD*)(m_btNewBytes+1) = (DWORD)pfnHook; 8个字节的代码地址 0xB8, 0x00, 0x00,0x40,0x00,0xFF,0xE0,0x00  只要把第

  • C++封装远程注入类CreateRemoteThreadEx实例

    本文实例讲述了C++封装远程注入类CreateRemoteThreadEx的方法,分享给大家供大家参考.具体方法如下: 首先,类初始化时传入要注入的DLL文件名 只使用两个函数 复制代码 代码如下: // 注入DLL到指定的地址空间 BOOL InjectModuleInto(DWORD dwProcessId); // 从指定的地址空间卸载DLL BOOL EjectModuleFrom(DWORD dwProcessId); .h头文件如下: 复制代码 代码如下: #pragma once 

  • C++动态数组类的封装实例

    C++中的动态数组(Dynamic Array)是指动态分配的.可以根据需求动态增长占用内存的数组.为了实现一个动态数组类的封装,我们需要考虑几个问题:new/delete的使用.内存分配策略.类的四大函数(构造函数.拷贝构造函数.拷贝赋值运算符.析构函数).运算符的重载.涉及到的知识点很多,对此本文只做简单的介绍. 一.内存分配策略 当用new为一个动态数组申请一块内存时,数组中的元素是连续存储的,例如 vector和string.当向一个动态数组添加元素时,如果没有空间容纳新元素,不可能简单

  • C++选择文件夹代码的封装

    本文实例讲述了C++选择文件夹代码的封装,分享给大家供大家参考.具体方法如下: 该实例分为DirDialog.h头文件与DirDialog.cpp源文件. DirDialog.h头文件代码如下: 复制代码 代码如下: #pragma once  #ifndef __DIRDIALOG_H_HH  #define __DIRDIALOG_H_HH #include <Shlobj.h> class CDirDialog  {  protected:      BROWSEINFO m_bi; 

随机推荐