Hook原理

Editor發表於2018-06-21

Hook

Hook原理

對於會Hook的人來說,Hook其實也就那麼回事.對於沒有Hook過的人來說,會感覺Hook很高大上(其實也沒毛病).

那麼今天我們就來探討一些Hook的原理是什麼.

我認為任何Hook都可以分為以下三步(簡稱WFH):

需要Hook的是什麼,在哪裡(後面簡稱Where).

尋找到Hook的地方.(後面簡稱Find)

進行Hook.(後面簡稱Hook)

當然了同一個型別的Hook所在的地方一般是一樣的.但尋找到Hook的地方,和進行Hook卻會有許多不同的方法.我們要抓住的是不變的地方.

根據這3點我們舉例來驗證一下.

Hook API

第一個我儘量說得詳細一些.

舉例子:Hook API:OpenProcess 讓win10 64位的工作管理員關閉不了任何程式.

1. Where.

Hook API:OpenProcess. 在kernelbase.dll裡面.

Hook原理

2.Find.

方式1:

通過LoadLibrary載入kernelbase.dll模組基地址.

通過GetProcAddress獲取OpenProcess的地址.

方式2:程式設計直接引用OpenProcess的地址,因為在Windows下3大模組user32.dll,kernelbase.dll,ntdll.dll的載入基地址在每個應用程式中都是一樣的.

方式3:通過尋找目標的IAT找到OpenProcess

3.Hook.

方式1:通過注入dll到目標程式進行,可以替換kernelbase.dll裡面的OpenProcess的前面5個位元組為jmp跳轉到我們自己的地址,也可以修改目標程式的IAT.

方式2:通過WriteProcessMemory寫入程式碼,修改目標程式的OpenProcess跳轉到我們的程式碼.

程式碼例項:F1+H1(Find的第二種方式,Hook的第一種方式,後面不再說明):

新建一個dll檔案:

Hook原理

在dll檔案裡面寫如下程式碼

如果你的win10是64位的就編譯64位的,32位就編譯32位的

//dllmain.cpp : 定義 DLL 應用程式的入口點。

DWORD oldProtect;

BYTE JmpBtye[5];

BYTE OldByte[5];

void*OpenProcessaddr;

boolH1_OpenProcess();

void UnHook();

BOOLAPIENTRY DllMain( HMODULE hModule,

DWORD ul_reason_for_call,

LPVOID lpReserved

)

{

switch (ul_reason_for_call)

{

case DLL_PROCESS_ATTACH:

H1_OpenProcess();

break;

case DLL_PROCESS_DETACH:

UnHook();

break;

}

returnTRUE;

}

HANDLE MyOpenProcess(

DWORD dwDesiredAccess,

BOOL bInheritHandle,

DWORD dwProcessId)

{

dwDesiredAccess &=~PROCESS_TERMINATE;//去掉關閉程式的許可權

UnHook();//恢復Hook 任何調整到原來的地方執行.

HANDLE h=OpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);

H1_OpenProcess();

returnh;

}

void*F1_OpenProcess()

{

//尋找到OpenProcess的地址

void*addr=0;

//載入kernel32.dll

HMODULE hModule=LoadLibraryA("kernelbase.dll");

//獲取OpenProcess的地址

addr=(void*)GetProcAddress(hModule,"OpenProcess");

returnaddr;

}

void*F2_OpenProcess()

{

return(void*)OpenProcess;

}

boolH1_OpenProcess()

{

//1.開始尋找地址

void*addr=F1_OpenProcess();

OpenProcessaddr=addr;

//判斷是否尋找成功

if(addr==0)

{

MessageBoxA(NULL,"尋找地址失敗",NULL,0);

returnfalse;

}

//2.進行Hook

一般程式碼段是不可寫的,我們需要把其改為可讀可寫.

VirtualProtect((void*)addr,5, PAGE_EXECUTE_READWRITE,&oldProtect);

//修改前面的5個位元組為jmp 跳轉到我們的程式碼.

//內聯Hook 跳轉偏移計算方式:跳轉偏移=目標地址-指令地址-5

//jmp 的OpCode 為:0xE9

JmpBtye[0]=0xE9;

*(DWORD*)&JmpBtye[1]=(DWORD)((longlong)MyOpenProcess-(longlong)addr-5);

//儲存原先位元組

memcpy(OldByte, (void*)addr,5);

//替換原先位元組

memcpy((void*)addr, JmpBtye,5);

}

void UnHook()

{

//恢復原先位元組

memcpy((void*)OpenProcessaddr, OldByte,5);

//恢復屬性

DWORD p;

VirtualProtect((void*)OpenProcessaddr,5, oldProtect, &p);

}

把dll注入工作管理員,因為注入不是我們主題,所以這裡我只是簡單的貼出程式碼,直接拿來用就可以

```

#include <windows.h>

//獲取程式控制程式碼

HANDLE GetThePidOfTargetProcess(HWND hwnd)

{

DWORD pid;

GetWindowThreadProcessId(hwnd, &pid);

HANDLE hProcee=::OpenProcess(PROCESS_ALL_ACCESS | PROCESS_CREATE_THREAD,0, pid);

returnhProcee;

}

//提升許可權

void Up()

{

HANDLE hToken;

LUID luid;

TOKEN_PRIVILEGES tp;

OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);

LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid);

tp.PrivilegeCount=1;

tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;

tp.Privileges[0].Luid=luid;

AdjustTokenPrivileges(hToken,0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);

}

//程式注入

BOOLDoInjection(char*DllPath, HANDLE hProcess)

{

DWORD BufSize=strlen(DllPath)+1;

LPVOID AllocAddr=VirtualAllocEx(hProcess, NULL, BufSize, MEM_COMMIT, PAGE_READWRITE);

WriteProcessMemory(hProcess, AllocAddr, DllPath, BufSize, NULL);

PTHREAD_START_ROUTINE pfnStartAddr=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"LoadLibraryA");

HANDLE hRemoteThread;

hRemoteThread=CreateRemoteThread(hProcess, NULL,0, pfnStartAddr, AllocAddr,0, NULL);

if(hRemoteThread)

{

MessageBox(NULL, TEXT("注入成功"), TEXT("提示"), MB_OK);

returntrue;

}

else

{

MessageBox(NULL, TEXT("注入失敗"), TEXT("提示"), MB_OK);

returnfalse;

}

intmain()

{

//這裡填寫視窗標題

HWND hwnd=FindWindowExA(NULL, NULL, NULL,"工作管理員");

Up();

HANDLE hP=GetThePidOfTargetProcess(hwnd);

//開始注入

//這裡填寫Dll路徑

DoInjection("E:\\studio\\VS2017\\F2H1.MessageBox\\x64\\Release\\F2H1.MessageBox.dll", hP);

}

```

注入之後看效果

Hook原理

Hook原理 )

Hook原理

其實還有很多方式,剩下的方式你就可以自己慢慢嘗試了.

SSDT Hook.

剛才說了使用者層的Hook,接下來我們再說一下核心層的Hook,其實還是3歩曲.WFH

實現相似的功能,讓所有程式關閉不了自己的程式.

1.Where

Windows 作業系統共有4個系統服務描述符.其中只用了兩個,第一個是SSDT,第二個是ShadowSSDT

系統描述符結構如下:

typedef struct _KSYSTEM_SERVICE_TABLE

{

ULONG*ServiceTableBase; //服務表基址第一個表示SSDT 緊接著下一個ShadowSSDT

ULONG*ServiceCounterTableBase;//計數表基址

ULONG NumberOfServices; //表中項的個數

UCHAR*ParamTableBase; //參數列基址

}KSYSTEM_SERVICE_TABLE,*PKSYSTEM_SERVICE_TABLE;

SSDT Hook:NtOpenProcess,在ntkrnlpa.exe核心模組中的系統服務描述符表中的SSDT表中的第190號.

使用PCHunter32檢視
Hook原理

2.Find

方式1:在Win7 32下,系統服務描述符表直接匯出符號KeServiceDescriptorTable,可以直接獲取其地址,然後通過其第一個ServiceTableBase就是SSDT的地址,接著找到第190號函式.

方式2:可以通過PsGetCurrentThread 獲取ETHREAD結構,該結構的第一個欄位KTHREAD有一個欄位ServiceTable儲存著系統描述符表的地址KeServiceDescriptorTable.通過其第一個ServiceTableBase就是SSDT的地址,接著找到第190號函式.

0: kd> u PsGetCurrentThread

nt!PsGetCurrentThread:

840473f164a124010000 mov eax,dword ptr fs:[00000124h] ;ETHREAD

840473f7c3 ret

Hook原理

3.Hook

方式1:替換找到的地方,換成我們自己的函式

方式2:獲取找到的地方的函式指標,改變其程式碼跳轉到自己的程式碼(其實就是inline Hook).

例子:F2H1

新建一個驅動程式:

Hook原理

2.程式碼如下：

#include <ntifs.h>

#pragma pack(1)

typedef struct _KSYSTEM_SERVICE_TABLE

{

ULONG*ServiceTableBase; //服務表基址第一個表示SSDT 緊接著下一個是ShadowSSDT

ULONG*ServiceCounterTableBase;//計數表基址

ULONG NumberOfServices; //表中項的個數

UCHAR*ParamTableBase; //參數列基址

}KSYSTEM_SERVICE_TABLE,*PKSYSTEM_SERVICE_TABLE;

#pragma pack()

void*OldNtProcess=0;

//匯入系統描述符表

extern"C"NTSYSAPI KSYSTEM_SERVICE_TABLE KeServiceDescriptorTable;

typedef NTSTATUS(NTAPI*NTOPENPROCESS)(PHANDLE ProcessHandle,

ACCESS_MASK DesiredAccess,

POBJECT_ATTRIBUTES ObjectAttributes,

PCLIENT_ID ClientId);

NTOPENPROCESS g_NtOpenProcess=NULL;

NTSTATUS NTAPI MyOpenProcess(

PHANDLE ProcessHandle,

ACCESS_MASK DesiredAccess,

POBJECT_ATTRIBUTES ObjectAttributes,

PCLIENT_ID ClientId

)

{

if(ClientId->UniqueProcess==(HANDLE)916)//指定保護的程式ID

{

returnSTATUS_ABANDONED;

}

returng_NtOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);

}

void OffProtect()

{

__asm {//關閉記憶體保護

push eax;

mov eax, cr0;

andeax, ~0x10000;//關閉CR0.WP位，關閉頁保護

mov cr0, eax;

pop eax;

}

void OnProtect()

{

__asm {//恢復記憶體保護

push eax;

mov eax, cr0;

oreax,0x10000;//開啟CR0.WP位，開啟頁保護

mov cr0, eax;

pop eax;

}

void*F1_NtOpenProcess()

{

return(void*)&KeServiceDescriptorTable.ServiceTableBase[190];

}

void*F2_NtOpenProcess()

{

PETHREAD eThread=PsGetCurrentThread();

PKSYSTEM_SERVICE_TABLE kServiceTable=(PKSYSTEM_SERVICE_TABLE)(*(ULONG*)((ULONG)eThread+0xbc));

return(void*)&kServiceTable->ServiceTableBase[190];

}

boolH1_NtOpenProcess()

{

OldNtProcess=F2_NtOpenProcess();//Find

g_NtOpenProcess=(NTOPENPROCESS)(*(ULONG*)OldNtProcess);//儲存就地址

OffProtect();//由於SSDT表是隻讀的所以需要關閉頁寫入保護

(*(ULONG*)OldNtProcess)=(ULONG)MyOpenProcess;//寫入自己的函式地址

OnProtect();//恢復

returntrue;

}

void UnHook()

{

OffProtect();//由於SSDT表是隻讀的所以需要關閉頁寫入保護

(*(ULONG*)OldNtProcess)=(ULONG)g_NtOpenProcess;//恢復函式

OnProtect();//恢復

}

void Unload(PDRIVER_OBJECT pDri)

{

UNREFERENCED_PARAMETER(pDri);

UnHook();

}

extern"C"NTSTATUS DriverEntry(PDRIVER_OBJECT pDri, PUNICODE_STRING pRegStr)

{

UNREFERENCED_PARAMETER(pRegStr);

pDri->DriverUnload=Unload;

H1_NtOpenProcess();

returnSTATUS_SUCCESS;

}

載入驅動程式(自己寫的一個小工具,也可以網上下載)

Hook原理 )

4.檢視效果

Hook原理