C 實現inline hook的原理及應用例項

本文例項簡述了實現inline hook的原理及應用，對於大家更好的理解inline hook原理及其應用有很大的幫助。具體內容如下：

一、inline hook簡介：

1.inline hook原理：

inline hook通過硬編碼的方式向核心api的記憶體空間（通常是開始的一段位元組，且一般在第一個call之前，這麼做是為了防止堆疊混亂）寫入跳轉語句，這樣，該api只要被呼叫，程式就會跳轉到我們的函式中來，我們在自己寫的函式裡需要完成3個任務：

1）重新調整當前堆疊。程式流程在剛剛跳轉的時候，核心api並沒有執行完，而我們的函式需要根據其結果來進行資訊過濾，所以我們需要保證核心api能在順利執行完畢後返回到我們的函式中來，這就要求對當前堆疊做一個調整。

2）執行遺失的指令。我們向核心api地址空間些如跳轉指令(jmp ******xx)時，勢必要覆蓋原先的一些彙編指令，所以我們一定要保證這些被覆蓋的指令能夠順利執行（否則，你的及其就要bsod了，呵呵 screen of death）。關於這部分指令的執行，一般是將其放在我們的函式中，讓我們的函式“幫助”核心api執行完被覆蓋的指令，然後再跳回核心api中被覆蓋內後後的地址繼續執行剩餘內容。跳回去的時候，一定要算好是跳回到什麼地址，是核心api起始地址後的第幾個位元組。

3）資訊過濾。這個就不用多說了，核心api順利執行並返回到我們的函式中，我們自然要根據其結果做一些資訊過濾，這部分內容因被hook的api以及hook目的的不同而不同。

2.inline hook的工作流程：

1）驗證核心api的版本（特徵碼匹配）。

2）撰寫自己的函式，要完成以上三項任務。

3）獲取自己函式的地址，覆蓋核心api記憶體，供跳轉。

簡而言之，inlinehook的原理就是，修改函式，使其跳轉到我們指定的地方。

常見的有改函式入口，也有改函式尾，函式中間的

比如，通常函式開頭的彙編**都是這樣：mov edi,edi;push esp;mov ebp,esp，而我們便可以通過修改這裡進行hook。

二、示例**（該示例摘自看雪）

#include

ulong g_kiinsertqueueapc;

ulong g_ucr0;

byte g_hookcode[5] = ; //jmp near

byte g_origcode[5] = ; // 原函式的前位元組內容

byte jmp_orig_code[7] = ; //jmp far

bool g_bhooked = false;

void

fake_kiinsertqueueapc (

pkapc apc,

kpriority increment

);void

proxy_kiinsertqueueapc (

pkapc apc,

kpriority increment

);void wpoff()

; g_ucr0 = uattr; //儲存原有的 cro 屬性

}void wpon();}

//// 停止inline hook

//void unhookkiinsertqueueapc ()

//// 開始inline hook -- kiinsertqueueapc

//void hookkiinsertqueueapc ()

//dbgprint("開始inline hook -- kiinsertqueueapc\n");

dbgprint( "kiinsertqueueapc的地址t0x%08x\n", (ulong)g_kiinsertqueueapc );

dbgprint( "fake_kiinsertqueueapc的地址t0x%08x\n", (ulong)fake_kiinsertqueueapc );

// 儲存原函式的前位元組內容

rtlcopymemory (g_origcode, (byte*)g_kiinsertqueueapc, 5);

//jmp指令，此處為短跳，計算相對偏移，同時，jmp ******這條指令佔了5個位元組

*( (ulong*)(g_hookcode + 1) ) = (ulong)fake_kiinsertqueueapc - (ulong)g_kiinsertqueueapc - 5;

// 禁止系統防寫，提升irql到dpc

wpoff();

oldirql = keraiseirqltodpclevel();

rtlcopymemory ( (byte*)g_kiinsertqueueapc, g_hookcode, 5 );

*( (ulong*)(jmp_orig_code + 1) ) = (ulong) ( (byte*)g_kiinsertqueueapc + 5 );

rtlcopymemory ( (byte*)proxy_kiinsertqueueapc, g_origcode, 5);

rtlcopymemory ( (byte*)proxy_kiinsertqueueapc + 5, jmp_orig_code, 7);

// 恢復防寫，降低irql

kelowerirql(oldirql);

wpon();

g_bhooked = true;}//

// 跳轉到我們的函式裡面進行預處理，裸函式，有呼叫者進行堆疊的平衡

//__declspec (naked)

void

fake_kiinsertqueueapc (

pkapc apc,

kpriority increment

)}//

// **函式，負責跳轉到原函式中繼續執行

//__declspec (naked)

void

proxy_kiinsertqueueapc (

pkapc apc,

kpriority increment

)}ulong getfunctionaddr( in pcwstr functionname)

//根據特徵值，從keinsertqueueapc搜尋中搜尋kiinsertqueueapc

ulong findkiinsertqueueapcaddress()

; ulong addr_kiinsertqueueapc = 0;

addr_keinsertqueueapc = (char *) getfunctionaddr(l"keinsertqueueapc");

for(i = 0; i < 100; i ++)

}return addr_kiinsertqueueapc;

}void onunload( in pdriver_object driverobject )

ntstatus driverentry( in pdriver_object thedriverobject, in punicode_string theregistrypath )

本文標題: c++實現inline hook的原理及應用例項

本文地址:

C 實現inline hook的原理及應用例項

synchronize的實現原理

Hive Group By的實現原理

ThreadLocal 的實現原理和應用場景

C 實現IDL原碼研究

簡單的INLINE HOOK檢測

C 引用加原創 C 實現kalman濾波

Dubbo Monitor 實現原理？

okhttp中的Okio實現原理

zookeeper服務的實現原理

oracle rac 負載的實現原理

C 實現inline hook的原理及應用例項

相關推薦