InlineHook的原理与做法
InlineHook翻译为内联钩子 内联也就是我们的内联汇编 钩子就是修改目标的执行流程或代码
#include<iostream>
using namespace std;
#include<Windows.h>DWORD OldPro = 0; //老的保护权限
char OldCode[9] = { 0 }; //hook前的汇编代码
DWORD RetData = 0; //内联汇编结束需要返回的地址DWORD RetAddr = 0; //原本被hook函数的返回地址
DWORD Num1 = 0; //传入的参数1
DWORD Num2 = 0; //传入的参数2
int Add(int a, int b)
{return a + b;
}_declspec(naked) void HookFun()
{__asm //第一步备份原本的寄存器和Eflag{PUSHADPUSHFD}__asm{MOV EAX, [ESP+0x24] //原本是esp保存返回地址但是由于前面写了备份寄存器和eflag共0x24个字节MOV RetAddr,EAXMOV EAX, [ESP+0x28]MOV Num1, EAXMOV EAX, [ESP+0x2C]MOV Num2, EAX}cout << RetAddr << Num1 << Num2;__asm{POPFDPOPAD}__asm //提高栈顶{push ebpmov ebp, espsub esp, 0xC0}__asm{jmp RetData}}VOID SetInlineHook(DWORD OldAddr, DWORD DeAddr)
{//第一步设置内存属性记得恢复属性BOOL bRet=VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READWRITE, &OldPro);if (!bRet){return;}//第二步保存原本的指令memcpy(OldCode, (LPVOID)OldAddr, 9);//第三步 设置NOPmemset((LPVOID)OldAddr, 0x90, 9);//第三步 修改汇编DWORD JumpAddr = DeAddr - OldAddr - 5; //计算跳转地址char JumpCode[5] = { 0 };JumpCode[0] = 0xE9; //0x90对应jmp*(PCHAR)(JumpCode + 1) = JumpAddr; //将地址写入后四个位置memcpy((LPVOID)OldAddr, JumpCode, 5);//恢复属性RetData = OldAddr + 5; //记录返回地址VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READ, &OldPro);
}VOID UnsetInlineHook(DWORD HookAddr)
{//第一步修改属性DWORD OldProtection = 0;BOOL bVpro=VirtualProtect((LPVOID)HookAddr, 9, PAGE_EXECUTE_READWRITE, &OldProtection);if (!bVpro){return;}//写入之前保存的代码memcpy((LPVOID)HookAddr, OldCode, 9);//恢复属性VirtualProtect((LPVOID)HookAddr, 9, OldProtection,NULL);
}int main()
{SetInlineHook((DWORD)Add,(DWORD)HookFun);Add(1, 2);UnsetInlineHook((DWORD)Add);
}我们对简单的Add函数进行hook
首先写hook函数
VOID SetInlineHook(DWORD OldAddr, DWORD DeAddr)
{//第一步设置内存属性记得恢复属性BOOL bRet=VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READWRITE, &OldPro);if (!bRet){return;}//第二步保存原本的指令memcpy(OldCode, (LPVOID)OldAddr, 9);//第三步 设置NOPmemset((LPVOID)OldAddr, 0x90, 9);//第三步 修改汇编DWORD JumpAddr = DeAddr - OldAddr - 5; //计算跳转地址char JumpCode[5] = { 0 };JumpCode[0] = 0xE9; //0x90对应jmp*(PCHAR)(JumpCode + 1) = JumpAddr; //将地址写入后四个位置memcpy((LPVOID)OldAddr, JumpCode, 5);//恢复属性RetData = OldAddr + 5; //记录返回地址VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READ, &OldPro);
}
第一步对要进行hook的函数进行修改内存权限
BOOL bRet=VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READWRITE, &OldPro);if (!bRet){return;}第二步保存hook前目标函数的指令
memcpy(OldCode, (LPVOID)OldAddr, 9);第三步将函数开头三个指令全部设置为NOP //便于jmp NOP的硬编码为0x90
memset((LPVOID)OldAddr, 0x90, 9);第四步开始修改汇编 将刚刚nop掉的改为jmp 并记录返回地址
注意跳转地址的计算方式是 跳转到目标地址减去要进行跳转函数的地址再减5(减5的原因是jmp指令长度为5)
0xE9对应的是jmp指令这两步将JumpCode填充完毕然后写入到被hook函数的开头即可
JumpCode[0] = 0xE9; //0xE9对应jmp*(PCHAR)(JumpCode + 1) = JumpAddr; //将地址写入后四个位置memcpy((LPVOID)OldAddr, JumpCode, 5);DWORD JumpAddr = DeAddr - OldAddr - 5; //计算跳转地址char JumpCode[5] = { 0 };JumpCode[0] = 0xE9; //0xE9对应jmp*(PCHAR)(JumpCode + 1) = JumpAddr; //将地址写入后四个位置memcpy((LPVOID)OldAddr, JumpCode, 5);最后记录返回地址(加5是因为当前地址的指令长度为5)并恢复属性
RetData = OldAddr + 5; //记录返回地址
VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READ, &OldPro);到这里就完成了hook的准备操作 下面来看hook的过程
_declspec(naked) void HookFun()
{__asm //第一步备份原本的寄存器和Eflag{PUSHADPUSHFD}__asm{MOV EAX, [ESP+0x24] //原本是esp保存返回地址但是由于前面写了备份寄存器和eflag共0x24个字节MOV RetAddr,EAXMOV EAX, [ESP+0x28]MOV Num1, EAXMOV EAX, [ESP+0x2C]MOV Num2, EAX}cout << RetAddr << Num1 << Num2;__asm //到这里我们的操作代码结束{POPFDPOPAD}__asm //提高栈顶 恢复原本的指令{push ebpmov ebp, espsub esp, 0xC0}__asm{jmp RetData}}hook的代码是裸函数进行内联汇编(Inline)
第一步先保存所有的寄存器和Eflag 然后这里我们拿到我们想要的数据 比如函数的参数和函数返回地址 然后将保存的寄存器和eflag出栈 然后模拟提升栈顶的操作因为原本函数的这个操作被我们nop掉了 然后使用jmp跳转到我们记录的地址即可
最后取消掉我们的钩子避免出问题
VOID UnsetInlineHook(DWORD HookAddr)
{//第一步修改属性DWORD OldProtection = 0;BOOL bVpro=VirtualProtect((LPVOID)HookAddr, 9, PAGE_EXECUTE_READWRITE, &OldProtection);if (!bVpro){return;}//写入之前保存的代码memcpy((LPVOID)HookAddr, OldCode, 9);//恢复属性VirtualProtect((LPVOID)HookAddr, 9, OldProtection,NULL);
}
重点就是将原本保存的指令重新写入到函数的起始位置
memcpy((LPVOID)HookAddr, OldCode, 9);简单来说InlineHook流程 就是使用jmp跳转到我们自己写的代码区域执行我们自己写的代码
注意的是每个步骤需要按照严格的顺序进行书写不然会出现很多问题