hook其他进程的API

                                      

 

今天终于有了一个小小的进步就算是自己的努力来完成的，没想到HOOK其他进程的API原来这样的简单。其实就是两个关键的技术（HOOK-API和远程线程注入）。

HOOK是一种WINDOWS下存在很久的技术了。
HOOK一般分两种
1。HOOK MESSAGE
2。HOOK API
本问讨论的是HOOK API。（如果你是HOOK高手就不要看了）
在最初学HOOK-API的时候通常都是通过"覆盖地址"和"修改IAT"的方法。
通过这两种技术，我们基本都可以实现对本进程的API函数进行HOOK了。但是在高兴之余会有点遗憾，
怎么才能HOOK其他进程的API函数呢？怎么才能对一个API函数进行全局的HOOK呢？
下面是我的一个简单的“HOOK其他进程API函数”的实现。（对另一进程的MessageBoxA这个函数进行HOOK）

里面的应用了两个技术
1。远程线程注入
2。修改IAT，HOOK-API

好了贴出代码如下：
一共是3个文件
install.c  注入程序
fundll.cpp  DLL程序
test.cpp  测试程序  

//-------------------------install.c--------------------------
//
//write by Gxter
//install.c

#include "windows.h"
#include "tlhelp32.h"

#pragma comment(lib,"th32.lib")

const char *pkill="fundll.dll";        //DLL文件的路径

//这个路径很有意思，这个路径是相对于目标进程的，而不是自身进程。
//所以要嘛写成绝对路径，要嘛写成相对于目标进程的相对路径。
//如果写成相对于自身的路径就要麻烦了，本程序就找不到DLL文件了。

char *prosess="test.exe";   //要注入的进程名(目标进程名)

int main()
{
    HANDLE hSnap;
    HANDLE hkernel32;    //被注入进程的句柄
    PROCESSENTRY32 pe;
    BOOL bNext;
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID Luid;
    LPVOID p;
    FARPROC pfn;

    if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
    {
        return 1;
    }

    if (!LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&Luid))
    {
        return 1;
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    tp.Privileges[0].Luid = Luid;

    if (!AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL))
    {
        return 1;
    }

    pe.dwSize = sizeof(pe);
    hSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    bNext=Process32First(hSnap, &pe);
    while(bNext)
    {
        if(!stricmp(pe.szExeFile,prosess))        //--->>
        {
            hkernel32=OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pe.th32ProcessID);
            break;
        }
        bNext=Process32Next(hSnap, &pe);
    }

    CloseHandle(hSnap);

    p=VirtualAllocEx(hkernel32,NULL,strlen(pkill),MEM_COMMIT,PAGE_READWRITE);
    WriteProcessMemory(hkernel32,p,pkill,strlen(pkill),NULL);
    pfn=GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");
    CreateRemoteThread(hkernel32,NULL,0,pfn,p,NULL,0);

    return 0;
}


//----------------------fundll.cpp-----------------------------
//
//write by Gxter
//
//fundll.cpp

#include "windows.h"
#include "process.h"
#include "tlhelp32.h"
#include "stdio.h"

#pragma comment(lib,"th32.lib")

PIMAGE_DOS_HEADER  pDosHeader;
PIMAGE_NT_HEADERS  pNTHeaders;
PIMAGE_OPTIONAL_HEADER   pOptHeader;
PIMAGE_IMPORT_DESCRIPTOR  pImportDescriptor;
PIMAGE_THUNK_DATA         pThunkData;
PIMAGE_IMPORT_BY_NAME     pImportByName;
HMODULE hMod;


// 定义MessageBoxA函数原型
typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);
int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType);

int * addr = (int *)MessageBoxA;    //保存函数的入口地址
int * myaddr = (int *)MessageBoxProxy;


void ThreadProc(void *param);//线程函数


BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason,LPVOID lpvReserved)
{
    if(fdwReason==DLL_PROCESS_ATTACH)    
        _beginthread(ThreadProc,0,NULL);    

    return TRUE;
}


//结束进程的函数

void ThreadProc(void *param)
{
    //------------hook api----------------
    hMod = GetModuleHandle(NULL);

    pDosHeader = (PIMAGE_DOS_HEADER)hMod;
    pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE *)hMod + pDosHeader->e_lfanew);
    pOptHeader = (PIMAGE_OPTIONAL_HEADER)&(pNTHeaders->OptionalHeader);

    pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((BYTE *)hMod + pOptHeader->DataDirectory[1].VirtualAddress);

    while(pImportDescriptor->FirstThunk)
    {
        char * dllname = (char *)((BYTE *)hMod + pImportDescriptor->Name);

        pThunkData = (PIMAGE_THUNK_DATA)((BYTE *)hMod + pImportDescriptor->OriginalFirstThunk);

        int no = 1;
        while(pThunkData->u1.Function)
        {
            char * funname = (char *)((BYTE *)hMod + (DWORD)pThunkData->u1.AddressOfData + 2);
            PDWORD lpAddr = (DWORD *)((BYTE *)hMod + (DWORD)pImportDescriptor->FirstThunk) +(no-1);
        
            //修改内存的部分
            if((*lpAddr) == (int)addr)
            {
                //修改内存页的属性
                DWORD dwOLD;
                MEMORY_BASIC_INFORMATION  mbi;
                VirtualQuery(lpAddr,&mbi,sizeof(mbi));
                VirtualProtect(lpAddr,sizeof(DWORD),PAGE_READWRITE,&dwOLD);
                
                WriteProcessMemory(GetCurrentProcess(),
                        lpAddr, &myaddr, sizeof(DWORD), NULL);
                //恢复内存页的属性
                VirtualProtect(lpAddr,sizeof(DWORD),dwOLD,0);
            }
            //---------
            no++;
            pThunkData++;
        }

        pImportDescriptor++;
    }
    //-------------------HOOK END-----------------
}

//new messagebox function
int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType)
{
    return     ((PFNMESSAGEBOX)addr)(NULL, "gxter_test", "gxter_title", 0);
    //这个地方可以写出对这个API函数的处理代码
}


//----------------------------test.cpp------------------------------------
//
//write by Gxter
//test.cpp

#include "stdio.h"
#include "windows.h"

int main()
{
    printf("test---\n");
    while(1)
    {
        getchar();
        MessageBoxA(NULL, "原函数", "09HookDemo", 0);
    }
    return 0;
}

//---------------------------THE--END--------------------------------------

测试过程：先运行TEST不要关闭（建立目标），再运行install（进行注入）。但要注意FUNDLL和TEST文件位置。

上面的代码进本上就实现了对其他进程的API进行HOOK了。
但还有一个问题就是对“API函数进行全局的HOOK”。我的想法就是注入所有进程就可以实现了。
只要简单的改一下上面的代码就可以实现了。 这好象有点像SetWindowsHookEx这个函数的的实现过程。
以上就是我想法了，如有错误还请斧正。