淺談API HOOK技術（一） (轉)

淺談API HOOK技術（一） (轉)[@more@]

淺談 HOOK技術（一）

  APIHook一直是使大家感興趣的話題。螢幕取詞，內碼轉化，螢幕翻譯，中文平臺等等都涉及到了此項技術。有很多文章涉及到了這項技術，但都閃爍其詞不肯明明白白的公佈。我僅在這裡公佈以下我用製作APIHook的一些心得。
  通常的APIHOOK有這樣幾種方法：
  1、自己寫一個動態連結庫，裡面定義自己寫的想取代的API。把這個動態連結庫對映到2G以上的系統動態連結庫所在空間，把系統動態連結庫中的該API的指向修改指向自己的。這種方法的好處就是可以取代系統中執行全部的該API。但他有個侷限，就是隻適用於。（原因是NT中動態連結庫不是共享的，每個程式都有自己的一份動態連結庫在中的對映）
  2、自己寫一個動態連結庫，裡面定義自己寫得象替代系統的API。把這個動態連結庫對映到程式的空間裡。將該程式對API的指向自己寫的動態連結庫。這種方法的好處是可以選擇性的替代哪個程式的API。而且適用於所有的。
  這裡我選用的是第二種方法。
  第二種方法需要先了解一點PE格式的知識。
  首先是一個實的的DOS檔案頭，是為了保持和DOS的相容。
  接著是一個DOS的模組。你在純DOS先執行的可檔案，看看是不是也執行了，只是顯示的的是一行資訊大意是說該Windows程式不能在DOS真實模式下執行。
  然後才是真正意義上的Windows可執行檔案的檔案頭。它的具體位置不是每次都固定的。是由檔案偏移$3C決定的。我們要用到的就是它。
  如果我們在程式中呼叫了一個MessageBoxA函式那麼它的實現過程是這樣的。他先呼叫在本程式中的MessageBoxA函式然後才跳到動態連結庫的MessageBoxA的入口點。即：
  call messageBoxA(0040106c)
  jmp d ptr [_jmp_MessageBoxA@16(00425294)]
其中00425294的內容的就是就是MessageBoxA函式的入口地址。如果我們做一下手腳，那麼......
  那就開始吧！
我們需要定義兩個結構
type
  PImage_Import_Entry = ^Image_Import_Entry;
  Image_Import_Entry = record
  Characteristics: DWORD;
  TimeDateStamp: DWORD;
  MajorVersion: Word;
  MinorVersion: Word;
  Name: DWORD;
  LookupTable: DWORD;
  end;
type
  TImportCode = packed record
  JumpInstruction: Word; 義跳轉指令jmp
  AddressOfPointerToFunction: ^Pointer; 義要跳轉到的函式
  end;
  PImportCode = ^TImportCode;
然後是確定函式的地址。
function LocateFunctionAddress(Code: Pointer): Pointer;
var
  func: PImportCode;
begin
  Result := Code;
  if Code = nil then exit;
  try
  func := code;
  if (func.JumpInstruction = $25FF) then
  begin
  Result := func.AddressOfPointerToFunction^;
  end;
  except
  Result := nil;
  end;
end;
引數Code是函式在程式中的指標，即那條Jmp XXX的指令。$25FF就是跳轉指令的機器碼。
再下一篇我會講如何替換下那個XXX的內容，讓他跳到你想去的地方。