Hook技术应用广泛，如热补丁升级技术，API劫持，软件破解等，是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理，实现方法，同时送上demo实例。

一 . HOOK的基本原理

Hook技术的原理的:就是修改程序的运行时PC指针，让程序跳到我们指定的代码中运行，运行完我们的程序，程序PC指针又回到原来程序的下一条指令。简而言之：就篡改程序的运行路径，来执行我们的程序。

二．Hook技术的实现

1）需求分析

Hook的基本流程

原来的程序中的test.exe调用myprintf,现在我们要实现不编译源代码test.exe和test_dll源代码的前提下（你懂的，破解软件都是拿不到源代码的）让test.exe去调用MyPrintf_new。

其中：

test_dll的实现：

int MyPintf(int d)
{
      printf("hello,this is test ,test value is %d\n", d);
      return d+1;
}

test.exe的实现：

int _tmain(int argc, _TCHAR* argv[])

{

int d = 0;

d = MyPintf(2);

printf("d %d\n", d);

getchar();

return 0;

}

我们目标要实现main函数调用

int  MyPintf_new(int d)

{

printf("hello,this is my hook test ,test value is %d\n", d);

return d+10;

}

其中MyPintf_new我们在hook_dll中实现。

2）关键代码的实现

在hook_dll加载时篡改MyPintf的跳转指令。

其中

GetApiEntrance（）备份原来的跳转指令，构造新函数的跳转指令。

HookOn()用于改写进程空间中目标函数的跳转指令

HookOff()用于还原进程空间中目标函数的跳转指令

void GetApiEntrance()

{

//获取原API入口地址

HMODULE hmod = ::GetModuleHandle(L"test_dll.dll");

OldFun = (fun)::GetProcAddress(hmod, "MyPintf");

pfOldFun = (FARPROC)OldFun;

if (pfOldFun == NULL)

{

printf("获取原API入口地址出错");

return;

}

//  OldFun(88);

#ifndef WIN64

// 将原API的入口前5个字节代码保存到OldCode[]

_asm

{

lea edi, OldCode     //获取OldCode数组的地址,放到edi

mov esi, pfOldFun //获取原API入口地址，放到esi

cld   //方向标志位，为以下两条指令做准备

movsd //复制原API入口前4个字节到OldCode数组

movsb //复制原API入口第5个字节到OldCode数组

}

NewCode[0] = 0xe9;//实际上0xe9就相当于jmp指令

//获取MyPintf_new的相对地址,为Jmp做准备

//int nAddr= UserFunAddr – SysFunAddr - （我们定制的这条指令的大小）;

//Jmp nAddr;

//（我们定制的这条指令的大小）, 这里是5，5个字节嘛

//BYTE NewCode[5];

_asm

{

lea eax, MyPintf_new //获取我们的MyPintf_new函数地址

mov ebx, pfOldFun  //原系统API函数地址

sub eax, ebx            //int nAddr= UserFunAddr – SysFunAddr

sub eax, 5          //nAddr=nAddr-5

mov dword ptr[NewCode + 1], eax //将算出的地址nAddr保存到NewCode后面4个字节

//注：一个函数地址占4个字节

}

#else

//  JMP_X64(OldCode, pfOldFun, NewCode);

#endif

//填充完毕，现在NewCode[]里的指令相当于Jmp MyPintf_new

//既然已经获取到了Jmp MyPintf_new

//现在该是将Jmp MyPintf_new写入原API入口前5个字节的时候了

//知道为什么是5个字节吗？

//Jmp指令相当于0xe9,占一个字节的内存空间

// MyPintf_new是一个地址，其实是一个整数，占4个字节的内存空间

//int n=0x123;   n占4个字节和MyPintf_new占4个字节是一样的

//1+4=5，知道为什么是5个字节了吧

HookOn();

}

//开启钩子的函数

void HookOn()

{

#ifdef WIN64

//to do it

#else

DWORD dwPid = ::GetCurrentProcessId();

//printf("pid %d\n", dwPid);

hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);

assert(hProcess != NULL);

//printf("HookOn now,hProcess %d\n", hProcess);

DWORD dwTemp = 0;

DWORD dwOldProtect;

//修改API函数入口前5个字节为jmp xxxxxx

VirtualProtectEx(hProcess, pfOldFun, 5, PAGE_READWRITE, &dwOldProtect);

WriteProcessMemory(hProcess, pfOldFun, NewCode, 5, 0);

VirtualProtectEx(hProcess, pfOldFun, 5, dwOldProtect, &dwTemp);

#endif

printf("HookOn end\n");

}

//关闭钩子的函数

void HookOff()

{

#ifdef WIN64

//to do it

#else

assert(hProcess != NULL);

DWORD dwTemp = 0;

DWORD dwOldProtect;

//恢复API函数入口前5个字节

VirtualProtectEx(hProcess, pfOldFun, 5, PAGE_READWRITE, &dwOldProtect);

WriteProcessMemory(hProcess, pfOldFun, OldCode, 5, 0);

VirtualProtectEx(hProcess, pfOldFun, 5, dwOldProtect, &dwTemp);

#endif

}

4）使用工具将hook_dll.dll打进test.exe导入表，让test.exe拉起hook_dll.dll。

这样test.exe启动时就能加载hook_dll.dll，同时调用GetApiEntrance完成hook的初始化。

三 结果演示

原始的test.exe 演示效果

Hook之后的test.exe演示效果

对于64位hook，由于64位系统的指令系统，寄存器空间也不一样。需要研究一下X64的指令系统以及寄存器使用。基本思路是一样的，唯独就是JMP那条指令实现不一样，敬请期待。

更多更详细信息请关注公众号：AV_Chat

Windows的HooK技术实现（支持X86/X64版本）相关推荐

1. 欲知己之所防，先知彼之所攻——论Hook 技术的攻防对抗

   矛盾的同一性与斗争性原理几乎适用于所有攻防对抗. 上期,我们在<当硬件属性不再作为设备指纹的标识,我们该如何保证设备指纹的唯一性>一文中曾介绍了硬件ID 作为设备指纹的基础属性的发展演变- ...

2. Windows API Hook

   原文地址:http://blog.sina.com.cn/s/blog_628821950100xmuc.html 原文对我的帮助极大,正是因为看了原文,我才学会了HOOK,鉴于原文的排版不是很好, ...

3. Windows平台基于API Hook技术的WinInet网络库HttpDNS实现方案

   一.项目背景 学而思网校直播课堂在线安装程序,是一个独立的应用程序,提供学生端的安装功能,为了减少安装包体积,避免引入第三方网络库,使用的是操作系统的WinInet网络库.为了更好的优化网络,提高网络 ...

4. WinLicense 2.4.6.30 x86 / x64强大的技术和灵活性相结合

   WinLicense 2.4.6.30 x86 / x64强大的技术和灵活性相结合 WinLicense 2.4的功能: 先进的Mutator引擎 SDK与保护层通信 每个静态和交互式装配器的反拆卸技 ...

5. 苹果macbook pro 升级到到M1 pro/max后对x86/x64支持的综合测试结论

   本人使用macbook pro x86架构已经有10年以上历史,平时工作内容包括:大量文档编写.Linux技术研发.财务管理.硬件电路图.代码编写.图形设计.3D设计.日常办公.虚拟机等等.也可以说比 ...

6. Detour hook库x86 x64编译

   Detours Detours是经过微软认证的一个开源Hook库,编译好的下载地址:https://download.csdn.net/download/qing666888/10593942 Det ...

7. 2010.4.24更新 windows 7 x86/x64 应用全面导航(菜鸟老鸟全兼容)

   1.正确选择win7安装文件 首先确定你需要x64系统还是x86系统,如果不清楚自身需求可以先看看hjpjolin的帖子 了解一下:http://bbs.pcbeta.com/thread-35692 ...

8. Windows Vista Sp1 x86/x64 中文正式零售版下载

   时间过得真快,Vista 的集成sp1版本都发布了. 我身边的众多朋友还是在用xp系统,xp也要sp3了. Windows server 2008也发布了,是微软最后一个支持32位的系统,以后将是64 ...

9. x64内核HOOK技术之拦截

   转:https://www.cnblogs.com/iBinary/p/8399312.html 截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下, 例如我们要HOOK SSDT ...

最新文章

1. 让Windows Server 2008 + IIS 7+ ASP.NET 支持10万并发请求
2. python网络爬虫的基本步骤-十分钟教会你用Python写网络爬虫程序
3. Django安装使用基础
4. POJ 3150 循环矩阵的应用
5. 2.2.7 局部最优化问题
6. 使用 ramda 解析 .yarnrc/.npmrc 配置文件的例子
7. BlackBerry 应用程序开发者指南 第一卷：基础--第7章 使用数据报（Datagram）连接...
8. 必须掌握的Python技巧（三）
9. java 获取 t 的类型_如何获取类型为T的字段的类？
10. [转载] Python3 open()函数
11. 电话号码除了数字，应该允许使用文字
12. python爬取网站所有资源
13. 用什么软件测试微信朋友圈被屏蔽,怎么检测朋友圈被屏蔽？清师傅帮你
14. 《国富论》阅读笔记05
15. 计算机毕业设计Android的计算器app设计(源码+系统+mysql数据库+Lw文档）
16. 梁宁-产品思维30讲-机会判断-点线面体的战略选择
17. lotus miner 元数据 删除 重建
18. EXCEL学生成绩里计算年级名次、班级名次
19. 『毒舌吐槽社区』-很多敏感内容，你懂的！
20. Word文档或PDF转图片

热门文章

1. 神经网络核心问题有哪些,神经网络核心问题研究
2. 如何把win7 旗舰版升级到sp1最新版本
3. 检测网站挂马程序（Python）
4. 如何下载ChatGPT
5. 可能是一份最适合你的后端面试指南（部分内容前端同样适用）| 掘金技术征文...
6. vb.net获取html,如何使用VB.net获取html页面的源代码？
7. 理解移动语义(三)--万能引用
8. 资源 | Python可视化系列文章资源(源码+数据)
9. javac和java命令详解
10. 问题--在matplotlib的散点图中如何给不同种类颜色的点加标签？