「hookapi」hookapi函数

今天小编给各位分享hookapi的知识，文中也会对其知识点进行延伸解释，如果文章内容对您有帮助，别忘了关注本站，现在进入正文！

内容导航：

如何使用c#hook一个windows api 函数

怎样实现全局hook api函数

如何检测自己程序的API被HOOK了

关于hookapi

c#可以实现hook本进程的api吗

如何实现这样的API hook

一、如何使用c#hook一个windows api 函数

hook api有几种方式1、导入表hook，枚举导入表，找到位置，替换函数指针即可，api加算法即可完成，因此c#也可以调用api来完成2、inline hook，找到函数地址，开头写入跳转指令跳转到新位置，新位置执行后可以选择调用原函数，原函数之前可以先执行被覆盖的指令在跳转到剩余函数指令上。api加算法即可完成，因此c#也可以调用api来完成

二、怎样实现全局hook api函数

api hook技术的难点，并不在于hook技术，初学者借助于资料“照葫芦画瓢”能够很容易就掌握hook的基本使用技术。但是如何修改api函数的入口地址？这就需要学习pe可执行文件（.exe，.dll等）如何被系统映射到进程空间中，这就需要学习pe格式的基本

三、如何检测自己程序的API被HOOK了

这个程序的原版大家自己找，名字就叫做API拦截教程。启动该程序后，按下拦截createprocess的按钮后，运行任何程序都会弹出运行程序的路径。稍微了解apihook的都了解，通常ring3下hookapi的办法有三种，一是修改程序的iat表，使api调用跳向自己的函数而不是转向api入口。二是修改api入口的机器码。三是用创建远线程CreateRemoteThread的办法来完成。那么这个教程究竟用了什么先进手法呢？ 先运行一次，按下按钮后，果然explorer弹出了程序的路径。此时，你如果使用icesword类的可以查看程序模块的程序查看explorer的模块，你就会发现explorer里面多了个InterceptDll.dll的模块，当我们卸载了这个dll后，这个拦截的效果就没有了。看来这个程序的核心不是那个启动的程序，而是这个dll。现在让我们看看这个InterceptDll.dll到底做了什么。 先使用VC++的工具DUMPBIN将DLL中的导出函数表导出到一定义(.DEF)文件 DUMPBIN InterceptDll.dll /EXPROTS /OUT:InterceptDll.def ordinal hint RVA name 1 0 00001230 InstallHook 2 1 00001270 UninstallHook 只有两个导出函数，看名字就知道，一个是安装钩子，一个卸载钩子。我们调用看看 ，结果连参数都不用，只要调用InstallHook就可以把InterceptDll.dll插入explorer，用UninstallHook就可以卸载钩子。看来我们不用分析他的exe文件了，因为有用的东西就在这个dll里。那么如何分析这个dll这么工作的呢？直接用ida看静态代码，可以看见dll里有vivirtualalloc,setwindowshookexa等钩子函数。但是，里面乜嘢CreateRemoteThread这个函数，那么基本可以排除了第三种方法了。修改iat或者字节数的可能性比较大一些。那么具体究竟是用了什么手段，又是怎么实现的呢？光静态看源代码看出来，我可没那种本事。如果说要实时调试explorer又非常的麻烦，那么怎么办呢？其实办法很简单啦，只要自己修改一个exe文件名让他跟explorer同名就可以了。这家伙可不管你是真李逵还是假李鬼，统统都插！我先写了个很简单的exe程序，只有一个按钮直接掉用createprocess启动notepad的小程序，然后改名为explorer。运行后让程序拦截，果然再用icesword看模块，那个InterceptDll.dll偷偷的钻进了我写的这个程序。 好，现在动手钻进InterceptDll.dll的内部，看看他到底干了什么！我用的是olldbg，其实windbg也可以，我用od习惯了。先附加到我自己写的这个小explorer程序，然后在createprocess下断点，按下启动notepad的按钮，断下以后，一步一步跟踪。转载仅供参考，版权属于原作者。祝你愉快，满意请采纳哦

四、关于hookapi

所谓 HookAPI，就是改写程序的 IAT，再调用我自己写的用于替换原API函数的函数。在我们自己写的API函数中，我们可以进行我们想要的工作。之后呢，可以把原来的函数传回去，也可以不传回去，只要你设计好了就行。 而所谓调用自己的函数,就是把原函数参数都传给我的替换函数。我们就可以利用这些参数去干我们想做的事。而系统呢，我想由于微软设置的这个钩子的目的（我这么认为的），所以不会去检查替换函数是否就是原函数，只要参数、返回值符合条件就行，要不会出错。替换函数的返回值最好是原函数，否则有可能会出错 HookAPI时，exe程序起到的作用就是进行Hook，把dll注入到要Hook的程序，并且传回要挂接的进程的ID或者全局钩子，以便查询所要挂接的模块的IAT。如果不注入进去，系统不会让你去查询IAT的。DLL做的事情是确定要挂接哪个函数和这个函数在哪个DLL中等。

五、c#可以实现hook本进程的api吗

HOOK API是一个永恒的话题，如果没有HOOK，许多技术将很难实现，也许根本不能实现。这里所说的API，是广义上的API，它包括DOS下的中断，WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件，就是靠HOOK TextOut()或ExtTextOut()这两个函数实现的，在操作系统用这两个函数输出文本之前，就把相应的英文替换成中文而达到即时翻译；IFS和NDIS过滤也是如此，在读写磁盘和收发数据之前，系统会调用第三方提供的回调函数来判断操作是否可以放行，它与普通HOOK不同，它是操作系统允许的，由操作系统提供接口来安装回调函数。甚至如果没有HOOK，就没有病毒，因为不管是DOS下的病毒或WINDOWS里的病毒，都是靠HOOK系统服务来实现自己的功能的：DOS下的病毒靠HOOK INT 21来感染文件（文件型病毒），靠HOOK INT 13来感染引导扇区（引导型病毒）；WINDOWS下的病毒靠HOOK 系统API（包括RING0层的和RING3层的），或者安装IFS（CIH病毒所用的方法）来感染文件。因此可以说“没有HOOK，就没有今天多姿多彩的软件世界”。由于涉及到专利和知识产权，或者是商业机密，微软一直不提倡大家HOOK它的系统API，提供IFS和NDIS等其他过滤接口，也是为了适应杀毒软件和防火墙的需要才开放的。所以在大多数时候，HOOK API要靠自己的力量来完成。HOOK API有一个原则，这个原则就是：被HOOK的API的原有功能不能受到任何影响。就象医生救人，如果把病人身体里的病毒杀死了，病人也死了，那么这个“救人”就没有任何意义了。如果你HOOK API之后，你的目的达到了，但API的原有功能失效了，这样不是HOOK，而是REPLACE，操作系统的正常功能就会受到影响，甚至会崩溃。HOOK API的技术，说起来也不复杂，就是改变程序流程的技术。在CPU的指令里，有几条指令可以改变程序的流程：JMP，CALL，INT，RET，RETF，IRET等指令。理论上只要改变API入口和出口的任何机器码，都可以HOOK，但是实际实现起来要复杂很多，因为要处理好以下问题：1，CPU指令长度问题，在32位系统里，一条JMP/CALL指令的长度是5个字节，因此你只有替换API里超过5个字节长度的机器码（或者替换几条指令长度加起来是5字节的指令），否则会影响被更改的小于5个字节的机器码后面的数条指令，甚至程序流程会被打乱，产生不可预料的后果；2，参数问题，为了访问原API的参数，你要通过EBP或ESP来引用参数，因此你要非常清楚你的HOOK代码里此时的EBP/ESP的值是多少；3，时机的问题，有些HOOK必须在API的开头，有些必须在API的尾部，比如HOOK CreateFilaA()，如果你在API尾部HOOK API，那么此时你就不能写文件，甚至不能访问文件；HOOK RECV()，如果你在API头HOOK，此时还没有收到数据，你就去查看RECV()的接收缓冲区，里面当然没有你想要的数据，必须等RECV()正常执行后，在RECV()的尾部HOOK，此时去查看RECV()的缓冲区，里面才有想要的数据；4，上下文的问题，有些HOOK代码不能执行某些操作，否则会破坏原API的上下文，原API就失效了；5，同步问题，在HOOK代码里尽量不使用全局变量，而使用局部变量，这样也是模块化程序的需要；6，最后要注意的是，被替换的CPU指令的原有功能一定要在HOOK代码的某个地方模拟实现。下面以ws2_32.dll里的send()为例子来说明如何HOOK这个函数：Exported fn(): send - Ord:0013h地址 机器码 汇编代码:71A21AF4 55 push ebp //将被HOOK的机器码（第1种方法）:71A21AF5 8BEC mov ebp, esp //将被HOOK的机器码（第2种方法）:71A21AF7 83EC10 sub esp, 00000010:71A21AFA 56 push esi:71A21AFB 57 push edi:71A21AFC 33FF xor edi, edi:71A21AFE 813D1C20A371931CA271 cmp dword ptr [71A3201C], 71A21C93 //将被HOOK的机器码（第4种方法）:71A21B08 0F84853D0000 je 71A25893:71A21B0E 8D45F8 lea eax, dword ptr [ebp-08]:71A21B11 50 push eax:71A21B12 E869F7FFFF call 71A21280:71A21B17 3BC7 cmp eax, edi:71A21B19 8945FC mov dword ptr [ebp-04], eax:71A21B1C 0F85C4940000 jne 71A2AFE6:71A21B22 FF7508 push [ebp+08]:71A21B25 E826F7FFFF call 71A21250:71A21B2A 8BF0 mov esi, eax:71A21B2C 3BF7 cmp esi, edi:71A21B2E 0F84AB940000 je 71A2AFDF:71A21B34 8B4510 mov eax, dword ptr [ebp+10]:71A21B37 53 push ebx:71A21B38 8D4DFC lea ecx, dword ptr [ebp-04]:71A21B3B 51 push ecx:71A21B3C FF75F8 push [ebp-08]:71A21B3F 8D4D08 lea ecx, dword ptr [ebp+08]:71A21B42 57 push edi:71A21B43 57 push edi:71A21B44 FF7514 push [ebp+14]:71A21B47 8945F0 mov dword ptr [ebp-10], eax:71A21B4A 8B450C mov eax, dword ptr [ebp+0C]:71A21B4D 51 push ecx:71A21B4E 6A01 push 00000001:71A21B50 8D4DF0 lea ecx, dword ptr [ebp-10]:71A21B53 51 push ecx:71A21B54 FF7508 push [ebp+08]:71A21B57 8945F4 mov dword ptr [ebp-0C], eax:71A21B5A 8B460C mov eax, dword ptr [esi+0C]:71A21B5D FF5064 call [eax+64]:71A21B60 8BCE mov ecx, esi:71A21B62 8BD8 mov ebx, eax:71A21B64 E8C7F6FFFF call 71A21230 //将被HOOK的机器码（第3种方法）:71A21B69 3BDF cmp ebx, edi:71A21B6B 5B pop ebx:71A21B6C 0F855F940000 jne 71A2AFD1:71A21B72 8B4508 mov eax, dword ptr [ebp+08]:71A21B75 5F pop edi:71A21B76 5E pop esi:71A21B77 C9 leave:71A21B78 C21000 ret 0010下面用4种方法来HOOK这个API：1，把API入口的第一条指令是PUSH EBP指令（机器码0x55）替换成INT 3（机器码0xcc），然后用WINDOWS提供的调试函数来执行自己的代码，这中方法被SOFT ICE等DEBUGER广泛采用，它就是通过BPX在相应的地方设一条INT 3指令来下断点的。但是不提倡用这种方法，因为它会与WINDOWS或调试工具产生冲突，而汇编代码基本都要调试；2，把第二条mov ebp,esp指令（机器码8BEC，2字节）替换为INT F0指令（机器码CDF0），然后在IDT里设置一个中断门，指向我们的代码。我这里给出一个HOOK代码：lea ebp,[esp+12] //模拟原指令mov ebp,esp的功能pushfd //保存现场pushad //保存现场//在这里做你想做的事情popad //恢复现场popfd //恢复现场iretd //返回原指令的下一条指令继续执行原函数（71A21AF7地址处）这种方法很好，但缺点是要在IDT设置一个中断门，也就是要进RING0。3，更改CALL指令的相对地址（CALL分别在71A21B12、71A21B25、71A21B64，但前面2条CALL之前有一个条件跳转指令，有可能不被执行到，因此我们要HOOK 71A21B64处的CALL指令）。为什么要找CALL指令下手？因为它们都是5字节的指令，而且都是CALL指令，只要保持操作码0xE8不变，改变后面的相对地址就可以转到我们的HOOK代码去执行了，在我们的HOOK代码后面再转到目标地址去执行。假设我们的HOOK代码在71A20400处，那么我们把71A21B64处的CALL指令改为CALL 71A20400（原指令是这样的：CALL 71A21230）而71A20400处的HOOK代码是这样的：71A20400:pushad//在这里做你想做的事情popadjmp 71A21230 //跳转到原CALL指令的目标地址，原指令是这样的：call 71A21230这种方法隐蔽性很好，但是比较难找这条5字节的CALL指令，计算相对地址也复杂。4，替换71A21AFE地址上的cmp dword ptr [71A3201C], 71A21C93指令（机器码：813D1C20A371931CA271，10字节）成为call 71A20400nopnopnopnopnop（机器码：E8 XX XX XX XX 90 90 90 90 90，10字节）在71A20400的HOOK代码是：pushadmov edx,71A3201Ch //模拟原指令cmp dword ptr [71A3201C], 71A21C93cmp dword ptr [edx],71A21C93h //模拟原指令cmp dword ptr [71A3201C], 71A21C93pushfd//在这里做你想做的事popfdpopadret这种方法隐蔽性最好，但不是每个API都有这样的指令，要具体情况具体操作。以上几种方法是常用的方法，值得一提的是很多人都是改API开头的5个字节，但是现在很多杀毒软件用这样的方法检查API是否被HOOK，或其他病毒木马在你之后又改了前5个字节，这样就会互相覆盖，最后一个HOOK API的操作才是有效的，

六、如何实现这样的API hook

api hook技术的难点，并不在于hook技术，初学者借助于资料“照葫芦画瓢”能够很容易就掌握hook的基本使用技术。但是如何修改api函数的入口地址？这就需要学习pe可执行文件（.exe，.dll等）如何被系统映射到进程空间中，这就需要学习pe格式的基本知识。windows已经提供了很多数据结构struct帮助我们访问pe格式，借助它们，我们就不要自己计算格式的具体字节位置这些繁琐的细节。但是从api hook的实现来看，pe格式的访问部分仍然是整个编程实现中最复杂的一部分，对于经常crack的朋友不在此列。假设我们已经了解了pe格式，那么我们在哪里修改api的函数入口点比较合适呢？这个就是输入符号表imported symbols table（间接）指向的输入符号地址。 下面对于pe格式的介绍这一部分，对于没有接触过pe格式学习的朋友应该是看不太明白的，但我已经把精华部分提取出来了，学习了pe格式后再看这些就很容易了。pe格式的基本组成+-------------------+ | DOS-stub | --DOS-头 +-------------------+ | file-header | --文件头 +-------------------+ | optional header | --可选头 |- - - - - - - - - -| | | | data directories | --（可选头尾的）数据目录 | | +-------------------+ | | | section headers | --节头 | | +-------------------+ | | | section 1 | --节1 | | +-------------------+ | | | section 2 | --节2 | | +-------------------+ | | | ... | | | +-------------------+ | | | section n | --节n | | +-------------------+ 在上图中，我们需要从“可选头”尾的“数据目录”数组中的第二个元素——输入符号表的位置，它是一个IMAGE_DATA_DIRECTORY结构，从它中的VirtualAddress地址，“顺藤摸瓜”找到api函数的入口地点。 下图的简单说明如下：OriginalFirstThunk 指向IMAGE_THUNK_DATA结构数组，为方便只画了数组的一个元素，AddressOfData 指向IMAGE_IMPORT_BY_NAME结构。IMAGE_IMPORT_DESCRIPTOR数组：每个引入的dll文件都对应数组中的一个元素，以全0的元素（20个bytes的0）表示数组的结束IMAGE_THUNK_DATA32数组：同一组的以全0的元素（4个bytes的0）表示数组的结束，每个元素对应一个IMAGE_IMPORT_BY_NAME结构IMAGE_IMPORT_BY_NAME：如..@Consts@initialization$qqrv. 表示Unmangled Borland C++ Function: qualified function __fastcall Consts::initialization() 为了减少这个图的大小，不得已将汇编和c++的结构都用上了。这个图是输入符号表初始化的情形，此时两个IMAGE_THUNK_DATA结构数组的对应元素都指向同一个IMAGE_IMPORT_BY_NAME结构。 程序加载到进程空间后，两个IMAGE_THUNK_DATA结构数组指向有所不同了。看下图：// 本文转自 C++Builder研究 - 始化的，“两个结构都指向同一个IMAGE_IMPORT_BY_NAME”，此时还没有api函数地址当PE文件准备执行时，前图已转换成上图。一个结构指向不变，另一个出现api函数地址 如果PE文件从kernel32.dll中引入10个函数，那么IMAGE_IMPORT_DESCRIPTOR 结构的 Name1域包含指向字符串"kernel32.dll"的RVA，同时每个IMAGE_THUNK_DATA 数组有10个元素。(RVA是指相对地址，每一个可执行文件在加载到内存空间前，都以一个基址作为起点，其他地址以基址为准，均以相对地址表示。这样系统加载程序到不同的内存空间时，都可以方便的算出地址) 上述这些结构可以在winnt.h头文件里查到。具体编程实现 我将手上的vc示例代码进行了适当修正，修改了一些资源泄漏的小问题，移植到c++builder6 & update4上，经过测试已经可以完成基本的api hook功能。有几个知识点说明一下：1、 dll中共享内存变量的实现正常编译下的dll，它的变量使用到的内存是独立的。比如你同时运行两个调用了某个dll的用户程序，试图对某一个在dll中定义的全局变量修改赋值的时候，两个程序里的变量值仍然是不同的。共享的方法为：在.cpp文件（.h文件里如此设置会提示编译错误）的头部写上如上两行：#pragma option -zRSHSEG // 改变缺省数据段名#pragma option -zTSHCLASS // 改变缺省数据类名HINSTANCE hdll = NULL; // 用来保存该动态连接库的句柄HHOOK hApiHook = NULL; // 钩子句柄HHOOK hWndProc = NULL; // 窗口过程钩子用来拦截SendMessageint threadId = 0; 另外建立一个与dll同名，不同后缀的def文件，如HookDll.def文件，写上：LIBRARY HookDll.dllEXPORTS;...SEGMENTS SHSEG CLASS 'SHCLASS' SHARED;end 这样设置后在.cpp文件中定义的变量，如果进行了初始化，将进入“SHCLASS”共享内存段（如果不初始化，将不改变其默认段属性）。 上述的共享对于本示例代码并不是必须的，只是稍微演示了一下。2、 api hook修改api函数入口点地址的时机 很显然，我们必须通过hook进入目标进程的地址空间后，再在位于该地址空间里的hook消息处理过程里修改输入符号表“指向”的api函数入口点地址，退出hook前也必须在这个消息处理过程里恢复原来的地址。只要我们牢记修改的过程发生在目标进程的地址空间中，就不会发生访问违例的错误了。 示例代码使用了WH_GETMESSAGE、WH_CALLWNDPROC两中hook来演示如何hook api，但WH_GETMESSAGE实际上并没有完成具体的功能。 为了让初学者尽快的掌握重点，我将代码进行了简化，是一个不健壮、不灵活的演示示例。3、 函数的内外部表现形式 例如api函数MessageBox，这个形式是我们通常用到的，但到了dll里，它的名字很可能出现了两个形式，一个是MessageBoxA，另一个是MessageBoxW，这是因为系统需要适应Ansi和Unicode编码的两种形式，我们不在函数尾端添加“A”或“W”，是不能hook到需要的函数的。4、 辅助pe格式查看工具 PE Explorer是一个非常好的查看pe资源的工具，通过它可以验证自己手工计算的pe地址，可以更快的掌握pe格式。 调试器ollydbg也是非常好的辅助工具，例如查看输入符号表中的api函数。

关于hookapi的问题，通过《如何使用c#hook一个windows api 函数》、《如何检测自己程序的API被HOOK了》等文章的解答希望已经帮助到您了！如您想了解更多关于hookapi的相关信息，请到本站进行查找！