Windows Hook 易核心编程(3) API Hook 初探

上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新.

这一期我们来谈谈 API HOOK

   API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外

挂,internet通信等领域API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例

如我们用API Hook技术挂接ExitWindowsEx API函数,使关机失效,挂接ZwOpenProcess函

数,隐藏进程等等......

 
  总的来说,常用的挂钩API方法有以下两种:

<一>改写IAT导入表法
  
   我们知道,Windows下的可执行文档的文件格式是一种叫PE（“portable executable”，可移植

的可执行文件）的文件格式，这种文件格式

是由微软设计的,接下来这张图描述了PE文件的结构:

     +-------------------------------+     - offset 0
     | MS DOS标志("MZ") 和 DOS块     |
     +-------------------------------+    
     |      PE 标志 ("PE")           |
     +-------------------------------+
     |             .text             |     - 模块代码
     |           程序代码            |
     |                               |
     +-------------------------------+
     |             .data             |     - 已初始化的(全局静态)数据
     |          已初始化的数据       |
     |                               |
     +-------------------------------+
     |            .idata             |     - 导入函数的信息和数据
     |            导入表             |      
     |                               |
     +-------------------------------+
     |            .edata             |     - 导出函数的信息和数据
     |            导出表             |      
     |                               |
     +-------------------------------+
     |           调试符号            |
     +-------------------------------+

   

  
   这里对我们比较重要的是.idata部分的导入地址表(IAT)。这个部分包含了导入的相关信息和导

入函数的地址。有一点很重要的是我们必须知道PE文件是如何创建的。当在编程语言里间接调用任

意API(这意味着我们是用函数的名字来调用它，而不是用它的地址)，编译器并不直接把调用连接到

模块，而是用jmp指令连接调用到IAT，IAT在系统把进程调入内存时时会由进程载入器填满。这就是

我们可以在两个不同版本的Windows里使用相同的二进制代码的原因，虽然模块可能会加载到不同的

地址。进程载入器会在程序代码里调用所使用的IAT里填入直接跳转的jmp指令。所以我们能在IAT里

找到我们想要挂钩的指定函数，我们就能很容易改变那里的jmp指令并重定向代码到我们的地址。完

成之后每次调用都会执行我们的代码了。
  
   我们通过使用imagehlp.dll里的ImageDirectoryEntryToData来很容易地找到IAT。

  .DLL命令 ImageDirectoryEntryToData, 整数型, "imagehlp", , , 返回IMAGE_IMPORT_DESCRIPTOR数组的首地址
    .参数 Base, 整数型, , 模块句柄
    .参数 MappedAsImage, 逻辑型, , 真
    .参数 DirectoryEntry, 整数型, , 恒量:IMAGE_DIRECTORY_ENTRY_IMPORT,1
    .参数 Size, 整数型, 传址, IMAGE_IMPORT_DESCRIPTOR数组的大小


  .数据类型 IMAGE_IMPORT_DESCRIPTOR, , 输入描述结构
    .成员 OriginalFirstThunk, 整数型, , , 它是一个RVA（32位），指向一个以0结尾的、由IMAGE_THUNK_DATA（换长数据）的RVA构成的数          组，其每个IMAGE_THUNK_DATA（换长数据）元素都描述一个函数。此数组永不改变。
    .成员 TimeDateStamp, 整数型, , , 它是一个具有好几个目的的32位的时间日期戳.
    .成员 ForwarderChain, 整数型, , , 它是输入函数列表中第一个中转的、32位的索引。
    .成员 Name, 整数型, , , 它是一个DLL文件的名称（0结尾的ASCII码字符串）的、32位的RVA。
    .成员 FirstThunk, 整数型, , , 它也是一个RVA（32位），指向一个0结尾的、由IMAGE_THUNK_DATA（换长数据）的RVA构成的数组，其每          个IMAGE_THUNK_DATA（换长数据）元素都描述一个函数。此数组是输入地址表的一部分，并且可以改变。

  
   如果我们找到了就必须用VirtualProtectEx函数来改变内存页面的保护属性，然后就可以通过
WriteProcessMemory在内存中的这些部分写入代码了。在改写了地址之后我们要把保护属性改回来
。在调用VirtualProtectEx之前我们还要先知道有关页面的信息，这通过VirtualQueryEx来实现。
   
   这种方法的好处是比较稳定,但有漏API的可能,因为并不是所有的API调用都是通过IAT的,可能易
程序就是这种情况,我当初也是想用这种方法,但是在易里面调试时总不能在IAT里得到正确的程序调
用的API,常常是些无关的API(可能是易的核心支持库在做怪)，不得不放弃.

  

<二>直接改写API函数入口点.(改写内存地址JMP法)


    改写函数入口点开始的一些字节这种方法相当简单,这也是本文采用的方法,就象改变IAT里的地址一样，我们也要先修改页面属性。

.DLL命令 返回页面虚拟信息, 整数型, "kernel32", "VirtualQueryEx"
    .参数 hProcess, 整数型, , 对象的进程句柄,可以使用函数 OpenProcess() 返回。
    .参数 lpAddress, 整数型, , 对象指针地址
    .参数 lpBuffer, 虚拟信息, , 返回的虚拟信息
    .参数 dwLength, 整数型, , 信息长度,已知 28


.DLL命令 修改页面虚拟保护, 逻辑型, "kernel32", "VirtualProtectEx"
    .参数 hProcess, 整数型, , 对象的进程句柄,可以使用函数 OpenProcess() 返回。
    .参数 lpAddress, 整数型, , 虚拟信息.BaseAddress
    .参数 dwSize, 整数型, , 修改虚拟保护的长度.
    .参数 flNewProtect, 整数型, , 修改类型,#PAGE_EXECUTE_READWRITE 64为可读写模式
    .参数 lpflOldProtect, 整数型, 传址, 虚拟信息.Protect

   通过调用VirtualQueryEx,VirtualProtectEx这两个API就可以修改我们要挂勾的API所在的页面属性为可读写模式,接着就可以调用API函数

WriteProcessMemory写内存字节了.

   到这里,也就没有什么难点了,我们拿API函数ExitWindowsEx来简单说明下,如果要实现自定API函

数,可以写入一个跳转指令,JMP OX00000(其中OX00000为自定API函数地址),请参照论坛上的教程,也

当作我留给大家的问题吧,呵呵.              

制作目标:挂勾ExitWindowsEx,使关机无效.

分析:只要求关机无效,即ExitWindowsEx无效就可以了,我们不必那么麻烦去写跳转指令,可以直接在
     
     ExitWindowsEx首地址写入一个垃圾指令,使它后面的代码无法执行就可以了,我们可以写入    
     {104}→汇编 PUSH 或者 {195}→汇编 retn→返回命令(在易里面调用这个API会造成错误)这
    
     样就可以达到目地了.

看下面的代码:

===================

'通过API函数GetProcAddress和GetModuleHandleA很容易得到API函数ExitWindowsEx的首地址.


API ＝ GetProcAddress(GetModuleHandleA(“user32.dll”), “ExitWindowsEx”)


API_BAK ＝ 指针到字节集 (API, 1)  '为了以后可以还原,我们先备份一下

'用OpenProcess打开其他进程前先提升进程权限,这样可以打开几乎所有的非内核程序

提升进程权限 ()  '这个模块在附件里


==============================修改API首地址()=================

.子程序 修改API首地址, 逻辑型
.参数 Process, 整数型, , 目标进程句柄
.参数 Papi, 整数型, , 要修改的API函数地址
.参数 type, 字节集, , 要改写的内容,字节集
.局部变量 mbi, 虚拟信息
.局部变量 结果, 逻辑型
.局部变量 MyAPI, 整数型
.局部变量 Ptype, 字节集

.如果真 (Papi ＝ 0)
    返回 (假)
.如果真结束
.如果真 (返回虚拟信息 (Process, Papi, mbi, 28) ＝ 0)
    返回 (假)
.如果真结束
.如果真 (修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) ＋ 1, #PAGE_EXECUTE_READWRITE, mbi.Protect) ＝ 假)
    返回 (假)
.如果真结束
结果 ＝ 写内存字节 (Process, Papi, type, 取字节集长度 (type), 0)
修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) ＋ 1, #PAGE_EXECUTE_READ, mbi.Protect)  ' 改回只读模式
返回 (结果)


========================

我们通过以下几个API就可以举出系统所有进程,得到它们的进程ID

*CreateToolhelp32Snapshot,创建进程快照

*Process32First,开始进程快照 

*Process32Next, 继续进程快照

看代码:

=========================刷新进程信息==============
.子程序 刷新进程信息
.参数 进程信息输出, 进程信息输出, 数组
.局部变量 临时变量, 整数型
.局部变量 临时变量B, 整数型
.局部变量 线程基本优先级, 整数型, , "0"
.局部变量 临时进程信息, 进程信息输出

临时变量 ＝ 创建进程快照 (2, 0)
临时进程信息.结构大小 ＝ 296
临时变量B ＝ 开始进程快照 (临时变量, 临时进程信息)
.判断循环首 (临时变量B ≠ 0)
    加入成员 (进程信息输出, 临时进程信息)
    临时变量B ＝ 继续进程快照 (临时变量, 临时进程信息)
.判断循环尾 ()
关闭内核对象 (临时变量)

============================HOOK_API()================================

.子程序 HOOK_API
.参数 是否HOOK, 逻辑型, , 真,表示HOOK,假,表示还原
.局部变量 i, 整数型

刷新进程信息 (进程信息)
.计次循环首 (取数组成员数 (进程信息), i)
    进程句柄 ＝ 打开进程 (2035711, 0, 进程信息 [i].进程标识)
    .如果 (是否HOOK)
        修改API首地址 (进程句柄, API, { 195 })  ' 写入返回命令{195}
    .否则
        修改API首地址 (进程句柄, API, API_BAK)
    
     关闭内核对象 (进程句柄)
.计次循环尾 ()

=================================================================

最后我们通过调用HOOK_API(真)就可以挂勾ExitWindowsEx,

调用HOOK_API (假)就可以还原ExitWindowsEx.

继续看代码:

======================================

.子程序 _选择框_挂勾API_被单击

.如果 (选择框_挂勾API.标题 ＝ “挂勾API”)
    HOOK_API (真)
    选择框_挂勾API.标题 ＝ “还原”
    信息框 (“恭喜,挂勾ExitWindowsEx成功,你现在不能关闭系统了,不信你可以试试!”, 64, )
.否则
    HOOK_API (假)
    选择框_挂勾API.标题 ＝ “挂勾API”
    信息框 (“提示:还原ExitWindowsEx成功,你现在可以关闭系统了!”, 48, “提示”)
    结束 ()

=======================================

题外话:

  有了这个程序,再结合API函数ShowWindow,控制网管软件窗口的可见性,就可以破解几乎所有网管

软件的限制,不过,我不同意你用它拿来破解网管软件,我之所以这么说,只是想告诉大家一个道理:

思维不要只限制到一个很狭隘的空间中去......

==========================================
总结:

  怎么样,是不是很简单啊,呵呵,通过本期的学习,我们的Windows Hook 易核心编程也就告一段落了

自由 平等 随意 突破......

此文献给所有易的支持者

上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新.

这一期我们来谈谈 API HOOK

   API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外

挂,internet通信等领域API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例

如我们用API Hook技术挂接ExitWindowsEx API函数,使关机失效,挂接ZwOpenProcess函

数,隐藏进程等等......

 
  总的来说,常用的挂钩API方法有以下两种:

<一>改写IAT导入表法
  
   我们知道,Windows下的可执行文档的文件格式是一种叫PE（“portable executable”，可移植

的可执行文件）的文件格式，这种文件格式

是由微软设计的,接下来这张图描述了PE文件的结构:

     +-------------------------------+     - offset 0
     | MS DOS标志("MZ") 和 DOS块     |
     +-------------------------------+    
     |      PE 标志 ("PE")           |
     +-------------------------------+
     |             .text             |     - 模块代码
     |           程序代码            |
     |                               |
     +-------------------------------+
     |             .data             |     - 已初始化的(全局静态)数据
     |          已初始化的数据       |
     |                               |
     +-------------------------------+
     |            .idata             |     - 导入函数的信息和数据
     |            导入表             |      
     |                               |
     +-------------------------------+
     |            .edata             |     - 导出函数的信息和数据
     |            导出表             |      
     |                               |
     +-------------------------------+
     |           调试符号            |
     +-------------------------------+

   

  
   这里对我们比较重要的是.idata部分的导入地址表(IAT)。这个部分包含了导入的相关信息和导

入函数的地址。有一点很重要的是我们必须知道PE文件是如何创建的。当在编程语言里间接调用任

意API(这意味着我们是用函数的名字来调用它，而不是用它的地址)，编译器并不直接把调用连接到

模块，而是用jmp指令连接调用到IAT，IAT在系统把进程调入内存时时会由进程载入器填满。这就是

我们可以在两个不同版本的Windows里使用相同的二进制代码的原因，虽然模块可能会加载到不同的

地址。进程载入器会在程序代码里调用所使用的IAT里填入直接跳转的jmp指令。所以我们能在IAT里

找到我们想要挂钩的指定函数，我们就能很容易改变那里的jmp指令并重定向代码到我们的地址。完

成之后每次调用都会执行我们的代码了。
  
   我们通过使用imagehlp.dll里的ImageDirectoryEntryToData来很容易地找到IAT。

  .DLL命令 ImageDirectoryEntryToData, 整数型, "imagehlp", , , 返回IMAGE_IMPORT_DESCRIPTOR数组的首地址
    .参数 Base, 整数型, , 模块句柄
    .参数 MappedAsImage, 逻辑型, , 真
    .参数 DirectoryEntry, 整数型, , 恒量:IMAGE_DIRECTORY_ENTRY_IMPORT,1
    .参数 Size, 整数型, 传址, IMAGE_IMPORT_DESCRIPTOR数组的大小


  .数据类型 IMAGE_IMPORT_DESCRIPTOR, , 输入描述结构
    .成员 OriginalFirstThunk, 整数型, , , 它是一个RVA（32位），指向一个以0结尾的、由IMAGE_THUNK_DATA（换长数据）的RVA构成的数          组，其每个IMAGE_THUNK_DATA（换长数据）元素都描述一个函数。此数组永不改变。
    .成员 TimeDateStamp, 整数型, , , 它是一个具有好几个目的的32位的时间日期戳.
    .成员 ForwarderChain, 整数型, , , 它是输入函数列表中第一个中转的、32位的索引。
    .成员 Name, 整数型, , , 它是一个DLL文件的名称（0结尾的ASCII码字符串）的、32位的RVA。
    .成员 FirstThunk, 整数型, , , 它也是一个RVA（32位），指向一个0结尾的、由IMAGE_THUNK_DATA（换长数据）的RVA构成的数组，其每          个IMAGE_THUNK_DATA（换长数据）元素都描述一个函数。此数组是输入地址表的一部分，并且可以改变。

  
   如果我们找到了就必须用VirtualProtectEx函数来改变内存页面的保护属性，然后就可以通过
WriteProcessMemory在内存中的这些部分写入代码了。在改写了地址之后我们要把保护属性改回来
。在调用VirtualProtectEx之前我们还要先知道有关页面的信息，这通过VirtualQueryEx来实现。
   
   这种方法的好处是比较稳定,但有漏API的可能,因为并不是所有的API调用都是通过IAT的,可能易
程序就是这种情况,我当初也是想用这种方法,但是在易里面调试时总不能在IAT里得到正确的程序调
用的API,常常是些无关的API(可能是易的核心支持库在做怪)，不得不放弃.

  

<二>直接改写API函数入口点.(改写内存地址JMP法)


    改写函数入口点开始的一些字节这种方法相当简单,这也是本文采用的方法,就象改变IAT里的地址一样，我们也要先修改页面属性。

.DLL命令 返回页面虚拟信息, 整数型, "kernel32", "VirtualQueryEx"
    .参数 hProcess, 整数型, , 对象的进程句柄,可以使用函数 OpenProcess() 返回。
    .参数 lpAddress, 整数型, , 对象指针地址
    .参数 lpBuffer, 虚拟信息, , 返回的虚拟信息
    .参数 dwLength, 整数型, , 信息长度,已知 28


.DLL命令 修改页面虚拟保护, 逻辑型, "kernel32", "VirtualProtectEx"
    .参数 hProcess, 整数型, , 对象的进程句柄,可以使用函数 OpenProcess() 返回。
    .参数 lpAddress, 整数型, , 虚拟信息.BaseAddress
    .参数 dwSize, 整数型, , 修改虚拟保护的长度.
    .参数 flNewProtect, 整数型, , 修改类型,#PAGE_EXECUTE_READWRITE 64为可读写模式
    .参数 lpflOldProtect, 整数型, 传址, 虚拟信息.Protect

   通过调用VirtualQueryEx,VirtualProtectEx这两个API就可以修改我们要挂勾的API所在的页面属性为可读写模式,接着就可以调用API函数

WriteProcessMemory写内存字节了.

   到这里,也就没有什么难点了,我们拿API函数ExitWindowsEx来简单说明下,如果要实现自定API函

数,可以写入一个跳转指令,JMP OX00000(其中OX00000为自定API函数地址),请参照论坛上的教程,也

当作我留给大家的问题吧,呵呵.              

制作目标:挂勾ExitWindowsEx,使关机无效.

分析:只要求关机无效,即ExitWindowsEx无效就可以了,我们不必那么麻烦去写跳转指令,可以直接在
     
     ExitWindowsEx首地址写入一个垃圾指令,使它后面的代码无法执行就可以了,我们可以写入    
     {104}→汇编 PUSH 或者 {195}→汇编 retn→返回命令(在易里面调用这个API会造成错误)这
    
     样就可以达到目地了.

看下面的代码:

===================

'通过API函数GetProcAddress和GetModuleHandleA很容易得到API函数ExitWindowsEx的首地址.


API ＝ GetProcAddress(GetModuleHandleA(“user32.dll”), “ExitWindowsEx”)


API_BAK ＝ 指针到字节集 (API, 1)  '为了以后可以还原,我们先备份一下

'用OpenProcess打开其他进程前先提升进程权限,这样可以打开几乎所有的非内核程序

提升进程权限 ()  '这个模块在附件里


==============================修改API首地址()=================

.子程序 修改API首地址, 逻辑型
.参数 Process, 整数型, , 目标进程句柄
.参数 Papi, 整数型, , 要修改的API函数地址
.参数 type, 字节集, , 要改写的内容,字节集
.局部变量 mbi, 虚拟信息
.局部变量 结果, 逻辑型
.局部变量 MyAPI, 整数型
.局部变量 Ptype, 字节集

.如果真 (Papi ＝ 0)
    返回 (假)
.如果真结束
.如果真 (返回虚拟信息 (Process, Papi, mbi, 28) ＝ 0)
    返回 (假)
.如果真结束
.如果真 (修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) ＋ 1, #PAGE_EXECUTE_READWRITE, mbi.Protect) ＝ 假)
    返回 (假)
.如果真结束
结果 ＝ 写内存字节 (Process, Papi, type, 取字节集长度 (type), 0)
修改虚拟保护 (Process, mbi.BaseAddress, 取字节集长度 (type) ＋ 1, #PAGE_EXECUTE_READ, mbi.Protect)  ' 改回只读模式
返回 (结果)


========================

我们通过以下几个API就可以举出系统所有进程,得到它们的进程ID

*CreateToolhelp32Snapshot,创建进程快照

*Process32First,开始进程快照 

*Process32Next, 继续进程快照

看代码:

=========================刷新进程信息==============
.子程序 刷新进程信息
.参数 进程信息输出, 进程信息输出, 数组
.局部变量 临时变量, 整数型
.局部变量 临时变量B, 整数型
.局部变量 线程基本优先级, 整数型, , "0"
.局部变量 临时进程信息, 进程信息输出

临时变量 ＝ 创建进程快照 (2, 0)
临时进程信息.结构大小 ＝ 296
临时变量B ＝ 开始进程快照 (临时变量, 临时进程信息)
.判断循环首 (临时变量B ≠ 0)
    加入成员 (进程信息输出, 临时进程信息)
    临时变量B ＝ 继续进程快照 (临时变量, 临时进程信息)
.判断循环尾 ()
关闭内核对象 (临时变量)

============================HOOK_API()================================

.子程序 HOOK_API
.参数 是否HOOK, 逻辑型, , 真,表示HOOK,假,表示还原
.局部变量 i, 整数型

刷新进程信息 (进程信息)
.计次循环首 (取数组成员数 (进程信息), i)
    进程句柄 ＝ 打开进程 (2035711, 0, 进程信息 [i].进程标识)
    .如果 (是否HOOK)
        修改API首地址 (进程句柄, API, { 195 })  ' 写入返回命令{195}
    .否则
        修改API首地址 (进程句柄, API, API_BAK)
    
     关闭内核对象 (进程句柄)
.计次循环尾 ()

=================================================================

最后我们通过调用HOOK_API(真)就可以挂勾ExitWindowsEx,

调用HOOK_API (假)就可以还原ExitWindowsEx.

继续看代码:

======================================

.子程序 _选择框_挂勾API_被单击

.如果 (选择框_挂勾API.标题 ＝ “挂勾API”)
    HOOK_API (真)
    选择框_挂勾API.标题 ＝ “还原”
    信息框 (“恭喜,挂勾ExitWindowsEx成功,你现在不能关闭系统了,不信你可以试试!”, 64, )
.否则
    HOOK_API (假)
    选择框_挂勾API.标题 ＝ “挂勾API”
    信息框 (“提示:还原ExitWindowsEx成功,你现在可以关闭系统了!”, 48, “提示”)
    结束 ()

=======================================

题外话:

  有了这个程序,再结合API函数ShowWindow,控制网管软件窗口的可见性,就可以破解几乎所有网管

软件的限制,不过,我不同意你用它拿来破解网管软件,我之所以这么说,只是想告诉大家一个道理:

思维不要只限制到一个很狭隘的空间中去......

==========================================
总结:

  怎么样,是不是很简单啊,呵呵,通过本期的学习,我们的Windows Hook 易核心编程也就告一段落了

自由 平等 随意 突破......

此文献给所有易的支持者