我来我网
https://5come5.cn
您尚未
登录
注册
|
菠菜
|
软件站
|
音乐站
|
邮箱1
|
邮箱2
|
风格选择
|
更多 »
vista
鍙よ壊涔﹂
card
wind
绮夌孩濂抽儙
帮助
统计与排行
无图版
我来我网·5come5 Forum
»
电脑技术
»
程序员之家
»
看到一个关于pe结的问题(windows系统编程的果果可能有用)
交 易
投 票
本页主题:
看到一个关于pe结的问题(windows系统编程的果果可能有用)
显示签名
|
打印
|
加为IE收藏
|
收藏主题
|
上一主题
|
下一主题
依然随意
∷
性别:
∷
状态:
∷
等级:
前途无量
∷
家族:
⊙JAY菊爱园⊙
∷
发贴:
5922
∷
威望:
0
∷
浮云:
760
∷
在线等级:
∷
注册时间: 2006-09-25
∷
最后登陆: 2022-10-30
【
复制此帖地址
只看此人回复
】
5come5帮你背单词 [
convenient
/k
ə
n'vi:nj
ə
nt/
a. 方便的
]
看到一个关于pe结的问题(windows系统编程的果果可能有用)
下面就说说API Hook的原理、实现以及自己的分析和实际运用中的问题。
一、什么是API Hook
见下图所示,API Hook就是对API的正常调用起一个拦截或中间层的作用,这样可以
在调用正常的API之前得到控制权,执行自己的代码。其中Module指映射到内存中的可执
行文件或DLL。
module0 module1
| |
CALL module1!API001 --------------------------------->| API001
|<-------------------------------------------|
| |
API215 |<----------------------------------CALL module0!API215
|------------------------------------------->|
| |
* *
vs.
module0 Hooooks.dll module1
| | |
CALL module1!API001 -------->API001>----------------->| API001
|<----------------- | | |
API215 |<----------------- |------------------>HOOOOK>----------------->|
| | |
* * *
二、API Hook的原理
这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格
式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。
下面首先介绍本段的结构。
输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接
进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。
例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个
IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下:
IMAGE_IMPORT_DESCRIPTOR struct
union{
DWORD Characteristics; ;00h
DWORD OriginalFirstThunk;
};
TimeDateStamp DWORD ;04h
ForwarderChain DWORD ;08h
Name DWORD ;0Ch
FirstThunk DWORD ;10h
IMAGE_IMPROT_DESCRIPTOR ends
typedef struct _IMAGE_THUNK_DATA{
union{
PBYTE ForwarderString;
PDWORD Functions;
DWORD Ordinal;
PIMAGE_IMPORT_BY_NAME AddressOfData;
}u1;
}
IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息:
IMAGE_IMPORT_BY_NAME struct
Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号
Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串
IMAGE_IMPORT_BY_NAME ends
OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件
起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。
TimeDateStamp:一个32位的时间标志,可以忽略。
ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的
DLL的API时使用。
NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。
FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在
DLL中的序号。
OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同,
分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。
IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以
序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名
方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。
三个结构关系如下图:
IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT
-------------------- /-->---------------- ---------- ---------------- <--\
| OriginalFirstThunk |--/ |IMAGE_THUNK_DATA|-->|01| 函数1 |<--|IMAGE_THUNK_DATA| |
|--------------------| |----------------| |----------| |----------------| |
| TimeDateStamp | |IMAGE_THUNK_DATA|-->|02| 函数2 |<--|IMAGE_THUNK_DATA| |
|--------------------| |----------------| |----------| |----------------| |
| ForwarderChain | | ... |-->| n| ... |<--| ... | |
|--------------------| ---------------- ---------- ---------------- |
| Name |------>"USER32.dll" |
|--------------------| |
| FirstThunk |---------------------------------------------------------------/
--------------------
在PE文件中对DLL输出函数的调用,主要以这种形式出现:
call dword ptr[xxxxxxxx] 或
jmp [xxxxxxxx]
其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA
的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应
的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址,
然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的
就是真正的API地址。
从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中,
达到拦截目的。
另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址,
然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的
调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。
三、实现前的准备
两种拦截方法,最终目的都是使程序对欲拦截API的调用跳转到自己的API。所以我们的API代码对
欲拦截进程必须是可见的,即我们的代码要映射到欲拦截进程的地址空间中。
在《隐藏进程》一文中我介绍了远程线程注入代码的技术,这里我们可以采用这种方法向欲拦截进
程中注入我们的API代码。同样有两种注入方式,一种是,直接将代码WriteProcessMemory到欲拦截进
程中,写入的代码包括我们的API代码和远程线程的入口函数代码。这种的缺点是有一些细节问题要解
决,如参数传递、写入代码大小的确定等并且由于多了一个远程线程效率不是很高,如果要拦截所有的
进程,即必须在每个进程中注入代码、插入线程。另一种是,注入DLL,远程线程入口函数为LoadLirary,
当然也存在效率的问题,但免去了一些麻烦。
这里我们主要介绍通过设置钩子(Hook)来自动注入DLL到欲拦截进程。先简单说明一下钩子是怎么回事。
Hook指出了系统消息处理机制。利
Posted: 2007-12-11 10:17 |
[楼 主]
carwin
∷
性别:
保密
∷
状态:
∷
等级:
品行端正
∷
发贴:
189
∷
威望:
0
∷
浮云:
1204
∷
在线等级:
∷
注册时间: 2006-09-17
∷
最后登陆: 2014-02-11
【
复制此帖地址
只看此人回复
】
5come5帮你背单词 [
excited
/ik'saitid/
a. 激动的
]
事实上上面的文章把api hook的原理讲得差不多了。
但是要做一个实用的api hook还有很多工作要做。
1.对于很多api我们不能只拦截就了事。还在进行各种操作之后,要掉用原api函数,对于这中inline hook那还是要东很多脑筋的。
2.对于很多api你不能只修改前6个字节,否则会将一条指令拆分成两半。一般来说,至少要用个长度反汇编库,来测试指令长度,应该保存>=6长度的所有完整指令。
3.其实api hook的最大难度是你注入,修改的时候,几乎所有的主动防御软件都会报!!!!
特别是像ZA,卡7这些比较bt的!
Posted: 2007-12-11 10:32 |
[1 楼]
快速跳至
|- 站务管理
|- 惩罚,奖励公布区
|- 会员咨询意见区
|- 申请区
|- 已批准申请区
|- 威望和荣誉会员推荐区
|- 5come5名人堂·Hall of Fame
>> 休闲娱乐
|- 灌水乐园 大杂烩
|- 精水区
|- 幽默天地
|- 开怀大笑(精华区)
|- 灵异空间
|- 运动新时空·菠菜交流
|- 动之风.漫之舞
|- 新货上架
|- 古董挖挖
|- 唯美贴图
|- 创意&美化&设计
|- 5COME5头像及签名档图片引用专区
|- 艺术摄影
|- 音乐咖啡屋
|- 音道乐经
>> 热点讨论
|- 工作交流
|- 求职信息
|- 就业精华区
|- 同城联谊
|- 留学专版
|- 情感物语
|- 情感物语精华区
|- 带走一片银杏叶
|- 精华区
|- 新闻直通车
|- 众志成城,抗震救灾
|- 衣食住行
|- 跳蚤市场
|- 旅游出行
>> 学术交流
|- 学业有成
|- 智力考场
|- 考研专版
|- 外语乐园
|- 考试·毕业设计
|- 电子设计·数学建模
|- 学生工作·社团交流·RX
|- 电脑技术
|- 电脑F.A.Q.
|- 软件交流
|- 硬件·数码
|- 程序员之家
|- Linux专区
|- 舞文弄墨
|- 历史&文化
|- 军临天下
|- 军事精华区
|- 财经频道
>> 游戏新干线[电子竞技俱乐部]
|- Blizz@rd游戏特区
|- WarCraft III
|- 魔兽区档案库
|- 魔兽争霸3博彩专区
|- StarCraft(new)
|- 暗黑专区
|- 休闲游戏区
|- PC GAME综合讨论区
|- 实况足球专区
|- Counter-Strike专区
|- TV GAME& 模拟器
|- 网络游戏
>> 资源交流
|- 恋影部落
|- 连续剧天地
|- 综艺开心档
|- 书香小筑
|- 小说发布
|- 资源交流
|- 综艺、体育、游戏资源发布
|- 音乐资源发布区
|- 电影电视剧发布区
|- 字幕园地
我来我网·5come5 Forum
»
程序员之家
Total 0.007287(s) query 6, Time now is:11-22 22:46, Gzip enabled
Powered by PHPWind v5.3, Localized by
5come5 Tech Team
,
黔ICP备16009856号