一文解讀C# 動態攔截第三方程式中的方法函式(外掛必備)

Jlion發表於2020-05-18

一、前言

由於專案需要,最近研究了一下跨程式通訊改寫第三方程式中的方法(執行中),把自己程式中的目標方法直接覆蓋第三方程式中的方法函式;一直沒有頭緒,通過搜尋引擎找了一大堆解決方案,資料甚是稀少,最後功夫不負有心人,經過兩天的研究,終於在github 上找到兩個開源的程式碼,通過兩個開原始碼結合起來即可實現我的需求。下面進一步來分析實踐原理,後面會把原始碼地址貼上來;
通過該文章分享,你會知道怎樣通過注入一個dll模組改寫第三方執行的程式中的某個方法,在裡面實現自己的業務,這個場景在做外掛程式中特別實用!!!

二、場景

假如有一個第三方應用程式,這時候需要對第三方應用程式進行方法攔截,比如第三方應用程式中的某個操作需要用我們的業務覆蓋掉他們的業務,那這種情況下我們有什麼好的方案解決呢?我們不可能修改第三方程式的程式碼,那有什麼方案可以解決呢?其實我們還是有辦法進行”修改“第三方程式的程式碼的,怎麼”修改“呢,請看下面實踐原理,下面帶你走入不一樣的程式碼世界!!!!

三、實踐

原理簡化圖:

這裡實踐我就直接寫兩個客戶端程式來進行程式碼上的演示

3.1. 實現原理

  • Hook 目標方法:
    需要改寫攔截第三方程式的指定的方法,那就得需要Hook 該方法,經過查詢資料在github上找到開原始碼DotNetDetour,但是開源作者是從.net framework 4.5開始支援,不支援.net framework 4.0, 我的需求需要執行在老爺機xp 上,故必須要支援4.0 的框架,所有我fork了一份把原始碼做了修改支援到了.net framework 4.0 框架,fork 原始碼地址:https://github.com/a312586670/DotNetDetour
  • Inject 注入dll到目標程式
    寫好針對目標程式的方法Hooke dll 模組後需要考慮把該dll模組注入到第三方程式程式中,這樣才可以實現完全的hook成功,改寫目標程式的方法,我這裡使用fastWin32 開原始碼,程式碼地址如下:https://github.com/a312586670/FastWin32

3.2 建立第三方程式Demo

這裡為了演示,我自己建立了一個目標客戶端程式,主要有如下核心程式碼方法:

public class ProcessService
{
        public string GetProcessInfo()
        {
            return "這是TargetClient 客戶端(第三方程式)";
        }


        public ProcessResponse GetProcessInfo(ProcessRequest request)
        {
            return new ProcessResponse()
            {
                Name = "這是TargetClient 客戶端(第三方程式)",
                Version = request.Version
            };
        }
}

UI介面互動程式碼如下:

 /// <summary>
    /// MainWindow.xaml 的互動邏輯
    /// </summary>
    public partial class MainWindow : Window
    {
        public MainWindow()
        {
            InitializeComponent();
        }

        private void btnInfo_Click(object sender, RoutedEventArgs e)
        {
            var service = new ProcessService();
            this.txtInfo.Text = service.GetProcessInfo();
        }

        private void btnComplateInfo_Click(object sender, RoutedEventArgs e)
        {
            var service = new ProcessService();
            var response = service.GetProcessInfo(new ProcessRequest() { Version = "v-Demo 1.0 版本" });
            this.txtInfo.Text = response.Name + response.Version;
        }
    }

上面程式碼中有兩個按鈕事件,分別呼叫了ProcessService 的兩個方法,我們先來執行目標客戶端Demo程式,分別點選兩個按鈕執行結果如下:
按鈕事件結果1
按鈕事件結果2

3.3 建立核心Hook類庫

好了,上面我們的目標第三方Demo程式已經寫好了,接下來我們需要寫一個核心的Jlion.Process.HookCore類庫 改寫目標的ProcessService 的兩個方法。
我這裡建了一個Jlion.Process.HookCore類庫,通過nuget包引用我fork 後的DotNetDetour 類庫,如下圖:

應用成功後我們建立核心的hook 方法,程式碼如下:

  public class ProcessHookService : IMethodHook
    {
        [HookMethod("Jlion.Process.Target.Client.ProcessService", null, null)]
        public string GetProcessInfo()
        {
            TextHelper.LogInfo($"這是Jlion.Process.HookCore.HookService dll. 改寫TargetClient 客戶端 的GetProcessInfo 方法後得到的結果");
            return "這是Jlion.Process.HookCore.HookService dll. 改寫TargetClient 客戶端 的GetProcessInfo 方法後得到的結果";
        }

        [OriginalMethod]
        public string GetProcessInfo_Original()
        {
            return null;
        }

        [HookMethod("Jlion.Process.Target.Client.ProcessService", null, null)]
        public object GetProcessInfo([RememberType("Jlion.Process.Target.Client.Model.ProcessRequest", false)] object request)
        {
            var json = JsonConvert.SerializeObject(request);
            TextHelper.LogInfo($"json:{json}");

            var name = "這是Jlion.Process.HookCore.HookService dll. 改寫TargetClient 客戶端的GetProcessInfo(obj)後得到的結果";
            return new ProcessResponse()
            {
                Name = name,
                Version = "改寫的dll 版本"
            };
        }

        [OriginalMethod]
        public object GetProcessInfo_Original([RememberType("Jlion.Process.Target.Client.Model.ProcessRequest", false)] object request)
        {
            return null;
        }
    }

我這裡就不詳細的寫DotNetDetour 的使用,需要知道它的使用可以訪問 https://github.com/a312586670/DotNetDetour 檢視具體的文件

核心的Jlion.Process.HookCore hook 類庫 也已經建立完了,接下來還需要建立一個初始化Hook的服務類(特別重要),並且還必須是靜態方法,程式碼如下:

 public class HookService
 {
        /// <summary>
        /// Hook 初始化
        /// </summary>
        /// <param name="msg"></param>
        /// <returns></returns>
        public static int Start(string msg)
        {
            try
            {
                TextHelper.LogInfo("開始"+msg);
                MethodHook.Install();
            }
            catch
            {
                return -1;
            }
            return 1;
        }
    }

到這一步基本上Jlion.Process.HookCore Hook 核心的類庫已經建立完了

3.4 模組注入客戶端程式

建立客戶端後需要引用FastWin32類庫,如下圖:

客戶端注入Dll核心程式碼如下:

public class InjectService
{
                //注入的核心dll 路徑
		public static string path = AppDomain.CurrentDomain.BaseDirectory+ "Jlion.Process.HookCore.dll";

		/// <summary>
		/// 程式id
		/// </summary>
		public static uint pid = 0;

		/// <summary>
		/// 啟動
		/// </summary>
		public static void Start()
		{
			Inject();
		}


		#region 私有方法
		private static void Inject()
		{
			try
			{
				Injector.InjectManaged(pid, path, "Jlion.Process.HookCore.HookService", "Start", "ss", out int returnValue);
			}
			catch (Exception ex)
			{
			}
		}
		
		#endregion
	}

程式碼中核心的程式碼是Injector.InjectManaged(),該方法有如下兩個重構方法:

引數說明:

  • processId:目標程式的程式id ->pid
  • assemblyPath:核心Hook 注入的dll 絕對路徑
  • typeName:Hook 初始化方法的名稱空間,一般注入一個模組dll後需要執行的入口初始化方法,這裡是Hook 核心dll 中的HookService.Start 方法的名稱空間(Jlion.Process.HookCore.HookService)
  • methodName : 注入後執行的方法名稱
  • argument : 方法所需要的引數
  • returnValue:返回注入後執行的方法返回值
客戶端UI 核心程式碼如下:
/// <summary>
    /// MainWindow.xaml 的互動邏輯
    /// </summary>
    public partial class MainWindow : Window
    {
        public MainWindow()
        {
            InitializeComponent();
        }

        private void btnInject_Click(object sender, RoutedEventArgs e)
        {
            InjectService.pid = Convert.ToUInt32(txbPid.Text.Trim());
            InjectService.Start();
        }
    }

這裡核心的注入Client Demo 也寫完了,我們把注入的客戶端也執行起來,輸入目標的程式pid(也可以程式中查詢目標程式Id),執行後再來執行上面建立的第三方程式的兩個按鈕,結果如下:

通過編寫客戶端程式點選注入dll後,再點選第三方程式的兩個按鈕事件,結果如下:


可以看到點選後,執行的結果已經被動態注入的Jlion.Process.HookCore.dll改寫了,不過上面的程式碼也可以改寫後同時還執行原有目標的方法就是通過呼叫'_Original'字尾結尾的方法,方法體返回null即可。

四、總結

通過DotNetDetour 框架可以編寫對目標程式的方法進行Hook 重寫,使用新的方法覆蓋第三方程式的方法,也可以繼續執行第三方的方法。
通過FastWin32呼叫Win32 API 把開發的dll模組注入到第三方程式中,同時注入後執行初始化方法,可以進行原有的Hook方法進行覆蓋。
到這裡是不是感覺很神奇,它可以在以下場景中使用:

  • 想必大家想到的就是外掛程式,通過改寫目標程式的方法進行外掛處理,寫上自己的覆蓋業務
  • 灰產地帶比較實用
  • 破解第三方收費軟體等等用途

感興趣的朋友可以下載Demo 原始碼玩一玩:
github 原始碼地址:https://github.com/a312586670/processClientDemo

原創不易,對你有用請點個贊

相關文章