概念
inline hook是一种通过修改机器码的方式来实现hook的技术。
原理
对于正常执行的程序,它的函数调用流程大概是这样的:
0x1000地址的call指令执行后跳转到0x3000地址处执行,执行完毕后再返回执行call指令的下一条指令。
我们在hook的时候,可能会读取或者修改call指令执行之前所压入栈的内容。那么,我们可以将call指令替换成jmp指令,jmp到我们自己编写的函数,在函数里call原来的函数,函数结束后再jmp回到原先call指令的下一条指令。如图:
通过修改机器码实现的inline hook,不仅不会破坏原本的程序逻辑,而且还能执行我们的代码,读写被hook的函数的数据。
inline hook流程
(1)寻找hook位置
我们hook的时候,会遇到不同类型的call,它们所占的字节可能是不一样的,本文构造一个长度为5字节的jmp指令(jmp的机器码占用1字节,跳转到的地址偏移占用4字节)来替换原来的5字节的call指令。即我们需要寻找长度为5字节的call,来进行inline hook。5字节的call形如:
(2)inline hook代码实现
在x86汇编中,同样有很多类型的jmp,本文构造inline hook使用的是近距离地址跳转的jmp指令,它的机器码为E9
,这种类型的jmp指令需要一个参数,参数是当前jmp指令地址距离目标函数地址的字节数。
假设需要hook的call的指令的内存地址为:0x1000
,我们想要它执行后跳转到我们的函数(假设函数在内存中的地址:0x5000
),那么,构造jmp指令时,指令应为:
jmp (0x5000-(0x1000 + 5))
即:
jmp 0x3FFB
对于5字节指令的hook,上面的计算公式是固定的,jmp指令本身占用5字节,所以加上5
懂了这些知识,就可以动手编写hook代码了:
int StartHook(DWORD hookAddr, BYTE backCode[5], void(*FuncBeCall)()) {
DWORD jmpAddr = (DWORD)FuncBeCall - (hookAddr + 5);
BYTE jmpCode[5];
*(jmpCode + 0) = 0xE9;
*(DWORD *)(jmpCode + 1) = jmpAddr;
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, GetCurrentProcessId());
if (ReadProcessMemory(hProcess, (LPVOID)hookAddr, backCode, 5 , NULL) == 0) {
return -1;
}
if (WriteProcessMemory(hProcess, (LPVOID)hookAddr, jmpCode, 5, NULL) == 0) {
return -1;
}
return 0;
}
上面的StartHook函数,hookAddr接收一个将被替换的call指令的内存地址;backCode接收一个长度为5字节的数组缓冲区,用于备份原有的call指令;FuncBeCall参数接收一个返回值为void函数地址。
StartHook函数的逻辑是:根据FuncBeCall的地址计算jmp的地址,并构造一条完整的jmp指令,存入数组。我们要hook当前的进程,所以调用OpenProcess打开当前进程。调用ReadProcessMemory读取当前进程hookAddr处的指令,写入backCode数组。调用WriteProcessMemory将构造好的jmp指令写入当前进程hookAddr处。
StartHook函数第3个参数接收一个函数地址,这个函数地址指向的函数应该是这样的:
_declspec(naked) void OnCall() {
......
}
OnCall函数用_declspec(naked)
修饰,被它修饰的函数我们常称它为裸函数,裸函数的特点是在编译生成的时候不会产生过多用于平衡堆栈的指令,这意味着在裸函数中我们要自己控制堆栈平衡。裸函数编写规则可以参考msdn上的这篇文档。
当我们替换到进程的jmp代码被执行,它就会跳转到该裸函数。在裸函数里可以编写我们的hook代码,比如通过esp寄存器读取或者修改原call的参数,或者通过修改eax寄存器以修改原call的返回值,再或者调用其他函数等等。
卸载inline hook流程
卸载hook的流程比较简单,也是打开当前进程,把hook时备份的call指令写回原来的位置
int Unhook(DWORD hookAddr, BYTE backCode[5]) {
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, GetCurrentProcessId());
if (WriteProcessMemory(hProcess, (LPVOID)hookAddr, backCode, 5, NULL) == 0) {
return -1;
}
return 0;
}
参数hookAddr是原来hook的call的内存地址,参数backCode是原来备份下来的call指令。
总结
本文是针对5字节的call进行inline hook,在寻找call的时候可能会遇到许多不同的call,比如6字节的call,或者7字节的call。对于不同的call,只要掌握了inline hook原理,就可以根据实际情况编写hook代码。
原文地址:https://www.cnblogs.com/luoyesiqiu/p/12306336.html