15,471
社区成员
发帖
与我相关
我的任务
分享这个世界变了吗?怎么HOOK不到ws2_32.dll了
刚学API HOOK,搞了个例子试验了几天,就是HOOK 不到 sendto之类的函数,今天找出问题所在,被我HOOK的进程的PE表里面竟然没有ws2_32.dll的记录!! 但是不知道原因,哪位高手可以看下吗?
我HOOK qq程序试过了,都是没有找到ws2_32.dll
这是主要的函数
int WINAPI HookOneAPI(LPCTSTR pszCalleeModuleName,PROC pfnOriginApiAddress,
PROC pfnDummyFuncAddress,HMODULE hModCallerModule)
{
ULONG size;
FILE *fp=fopen("333.txt","w"); //该语句仅测试使用
//获取指向PE文件中的Import中IMAGE_DIRECTORY_DESCRIPTOR数组的指针
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)
ImageDirectoryEntryToData(hModCallerModule,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&size);
if (pImportDesc == NULL)
return 1;
//查找记录,看看有没有我们想要的DLL
for (;pImportDesc->Name;pImportDesc++)
{
PSTR pszDllName = (PSTR)((PBYTE)hModCallerModule+pImportDesc->Name);
fprintf(fp,"%s\n",pszDllName); //该语句仅测试使用
if (lstrcmpiA(pszDllName,pszCalleeModuleName) == 0)
break;
}
if (pImportDesc->Name == NULL)
{
return 2;
}
//寻找我们想要的函数
PIMAGE_THUNK_DATA pThunk =
(PIMAGE_THUNK_DATA)((PBYTE)hModCallerModule+pImportDesc->FirstThunk);//IAT
for (;pThunk->u1.Function;pThunk++)
{
//ppfn记录了与IAT表项相应的函数的地址
PROC * ppfn= (PROC *)&pThunk->u1.Function;
if (*ppfn == pfnOriginApiAddress)
{
//如果地址相同,也就是找到了我们想要的函数,进行改写,将其指向我们所定义的函数
/*
HANDLE han=GetCurrentProcess();
char *str=(char*)han;
//str=(char*)han;
MessageBox(NULL,"F2",str,MB_OK);*/
WriteProcessMemory(GetCurrentProcess(),ppfn,&(pfnDummyFuncAddress),
sizeof(pfnDummyFuncAddress),NULL);
return 3;
}
}
return 4;
}
调用语句:
HookOneAPI("ws2_32.dll",GetProcAddress(GetModuleHandle("ws2_32.dll"),
"sendto"),(PROC)&H_sendto,GetModuleHandle(NULL));
返回指是2,证明是没有找到ws2_32.dll,但其他的DLL可以找到,我用文件记录了测试qq的时调用的DLL:
QQBaseClassInDll.dll
QQHelperDll.dll
BasicCtrlDll.dll
iphlpapi.dll
SHLWAPI.dll
MFC42.DLL
MSVCRT.dll
KERNEL32.dll
USER32.dll
ADVAPI32.dll
SHELL32.dll
ole32.dll
OLEAUT32.dll
WSOCK32.dll
MSVCP60.dll
VERSION.dll
WINMM.dll
WININET.dll
GDI32.dll
COMCTL32.dll
为何就是没有ws2_32.dll???难道这个年代调用ws2_32.dll的时候都隐藏了?
我HOOK qq程序试过了,都是没有找到ws2_32.dll
这是主要的函数
int WINAPI HookOneAPI(LPCTSTR pszCalleeModuleName,PROC pfnOriginApiAddress,
PROC pfnDummyFuncAddress,HMODULE hModCallerModule)
{
ULONG size;
FILE *fp=fopen("333.txt","w"); //该语句仅测试使用
//获取指向PE文件中的Import中IMAGE_DIRECTORY_DESCRIPTOR数组的指针
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)
ImageDirectoryEntryToData(hModCallerModule,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&size);
if (pImportDesc == NULL)
return 1;
//查找记录,看看有没有我们想要的DLL
for (;pImportDesc->Name;pImportDesc++)
{
PSTR pszDllName = (PSTR)((PBYTE)hModCallerModule+pImportDesc->Name);
fprintf(fp,"%s\n",pszDllName); //该语句仅测试使用
if (lstrcmpiA(pszDllName,pszCalleeModuleName) == 0)
break;
}
if (pImportDesc->Name == NULL)
{
return 2;
}
//寻找我们想要的函数
PIMAGE_THUNK_DATA pThunk =
(PIMAGE_THUNK_DATA)((PBYTE)hModCallerModule+pImportDesc->FirstThunk);//IAT
for (;pThunk->u1.Function;pThunk++)
{
//ppfn记录了与IAT表项相应的函数的地址
PROC * ppfn= (PROC *)&pThunk->u1.Function;
if (*ppfn == pfnOriginApiAddress)
{
//如果地址相同,也就是找到了我们想要的函数,进行改写,将其指向我们所定义的函数
/*
HANDLE han=GetCurrentProcess();
char *str=(char*)han;
//str=(char*)han;
MessageBox(NULL,"F2",str,MB_OK);*/
WriteProcessMemory(GetCurrentProcess(),ppfn,&(pfnDummyFuncAddress),
sizeof(pfnDummyFuncAddress),NULL);
return 3;
}
}
return 4;
}
调用语句:
HookOneAPI("ws2_32.dll",GetProcAddress(GetModuleHandle("ws2_32.dll"),
"sendto"),(PROC)&H_sendto,GetModuleHandle(NULL));
返回指是2,证明是没有找到ws2_32.dll,但其他的DLL可以找到,我用文件记录了测试qq的时调用的DLL:
QQBaseClassInDll.dll
QQHelperDll.dll
BasicCtrlDll.dll
iphlpapi.dll
SHLWAPI.dll
MFC42.DLL
MSVCRT.dll
KERNEL32.dll
USER32.dll
ADVAPI32.dll
SHELL32.dll
ole32.dll
OLEAUT32.dll
WSOCK32.dll
MSVCP60.dll
VERSION.dll
WINMM.dll
WININET.dll
GDI32.dll
COMCTL32.dll
为何就是没有ws2_32.dll???难道这个年代调用ws2_32.dll的时候都隐藏了?
...全文
请发表友善的回复…
发表回复
after80 2008-04-26
- 打赏
- 举报
谢谢,收获匪浅
wushigang 2008-04-25
- 打赏
- 举报
我知道,QQ可以有两种方式使用send
1)#include "socket.h" ::send(...)
这样用的话,编译出来QQ的PE表里就会有导入表,即你要找的ws2_32.dll及send
这种情况就用IAT替换PE导入表的方法来HOOKAPI,就是你用的方法。
2)funsend=GetprocAddress(LoadLibarary("ws2_32.dll","send")
这样使用,编译出来PE里就没有相应的导入项了,因为他是程序里动态获取的,所以你HOOK不到。
这时IAT法就无效了,要用JMP方法,就是直接把send函数的前5字节改成JMP->你的函数。
JMP法对两种方式均有效,DETOURS就是用的JMP法。代码量比IAT法还少。
1)#include "socket.h" ::send(...)
这样用的话,编译出来QQ的PE表里就会有导入表,即你要找的ws2_32.dll及send
这种情况就用IAT替换PE导入表的方法来HOOKAPI,就是你用的方法。
2)funsend=GetprocAddress(LoadLibarary("ws2_32.dll","send")
这样使用,编译出来PE里就没有相应的导入项了,因为他是程序里动态获取的,所以你HOOK不到。
这时IAT法就无效了,要用JMP方法,就是直接把send函数的前5字节改成JMP->你的函数。
JMP法对两种方式均有效,DETOURS就是用的JMP法。代码量比IAT法还少。
hityct1 2008-04-24
- 打赏
- 举报
ding
cnzdgs 2008-04-23
- 打赏
- 举报
进程不一定要调用ws2_32.dll,即使调用也不一定是隐式链接,你可以用LoadLibrary替代GetModuleHandle。
zhoujianhei 2008-04-23
- 打赏
- 举报
这是什么 WSOCK32.dll
你看看这个库是否调用了ws2_32.dll。
你看看这个库是否调用了ws2_32.dll。
CathySun118 2008-04-23
- 打赏
- 举报
把GetModuleHandle 改为LoadLibrary
after80 2008-04-23
- 打赏
- 举报
[Quote=引用 8 楼 cnzdgs 的回复:]
HookOneAPI("ws2_32.dll",GetProcAddress(LoadLibrary("ws2_32.dll"),
"sendto"),(PROC)&H_sendto,GetModuleHandle(NULL));
[/Quote]
效果和(GetModuleHandle("GDI32.dll"),"TextOutW")一样哦,
至于用ollydbg看看导入库中有ws2_32.dll的函数没有
是可以找到的
71A20000 模块 D:\windows\system32\WS2_32.dll
HookOneAPI("ws2_32.dll",GetProcAddress(LoadLibrary("ws2_32.dll"),
"sendto"),(PROC)&H_sendto,GetModuleHandle(NULL));
[/Quote]
效果和(GetModuleHandle("GDI32.dll"),"TextOutW")一样哦,
至于用ollydbg看看导入库中有ws2_32.dll的函数没有
是可以找到的
71A20000 模块 D:\windows\system32\WS2_32.dll
fanofvc 2008-04-23
- 打赏
- 举报
用ollydbg看看导入库中有ws2_32.dll的函数没有。
vcPlayer 2008-04-23
- 打赏
- 举报
兄弟,用DETOURS吧! 我钩send是没得问题的,而且很好使用。
cnzdgs 2008-04-23
- 打赏
- 举报
HookOneAPI("ws2_32.dll",GetProcAddress(LoadLibrary("ws2_32.dll"),
"sendto"),(PROC)&H_sendto,GetModuleHandle(NULL));
"sendto"),(PROC)&H_sendto,GetModuleHandle(NULL));
after80 2008-04-23
- 打赏
- 举报
递归??需要怎么做呢?可以给点详细的建议吗
after80 2008-04-23
- 打赏
- 举报
我把调用语句改成了
HookOneAPI("ws2_32.dll",GetProcAddress(GetModuleHandle("ws2_32.dll"),
"sendto"),(PROC)&H_sendto,LoadLibrary(“ws2_32.dll”));
还是不行,返回值也是2.
而且第四个参数需要的是当前进程的句柄吧,比如下面HOOK可以实现:
HookOneAPI("GDI32.dll",GetProcAddress(GetModuleHandle("GDI32.dll"),
"TextOutW"),(PROC)&H_TextOutW,GetModuleHandle(NULL));
至于“进程不一定要调用ws2_32.dll”,我测试的是QQ程序啊,肯定用到ws2_32.dll的
高手们,再帮我想想吧,期待中。。。
HookOneAPI("ws2_32.dll",GetProcAddress(GetModuleHandle("ws2_32.dll"),
"sendto"),(PROC)&H_sendto,LoadLibrary(“ws2_32.dll”));
还是不行,返回值也是2.
而且第四个参数需要的是当前进程的句柄吧,比如下面HOOK可以实现:
HookOneAPI("GDI32.dll",GetProcAddress(GetModuleHandle("GDI32.dll"),
"TextOutW"),(PROC)&H_TextOutW,GetModuleHandle(NULL));
至于“进程不一定要调用ws2_32.dll”,我测试的是QQ程序啊,肯定用到ws2_32.dll的
高手们,再帮我想想吧,期待中。。。
lwykj 2008-04-23
- 打赏
- 举报
[Quote=引用 4 楼 zzz3265 的回复:]
为何就是没有ws2_32.dll???
ws2_32.dll是间接被使用, 模块WSOCK32.dll会加载ws2_32.dll
因为你没有递归, 所以没有发现改模块
[/Quote]
为何就是没有ws2_32.dll???
ws2_32.dll是间接被使用, 模块WSOCK32.dll会加载ws2_32.dll
因为你没有递归, 所以没有发现改模块
[/Quote]
Yofoo 2008-04-23
- 打赏
- 举报
为何就是没有ws2_32.dll???
ws2_32.dll是间接被使用, 模块WSOCK32.dll会加载ws2_32.dll
因为你没有递归, 所以没有发现改模块
ws2_32.dll是间接被使用, 模块WSOCK32.dll会加载ws2_32.dll
因为你没有递归, 所以没有发现改模块
