不完美逆向320块的apihook教程

一笑拔剑 2009-06-12 04:07:12
不完美逆向320块的apihook教程
好把,他的是教程,俺这不是,只是写着玩的简单的逆向烂文。希望各位客官不要拍砖。
要说起来逆向这个程序的原因呢,其实也很简单,前段时间在天空下载软件,无意中发现了一个软件。自称是API拦截技术教程,还开价320元。apihook的技术在windows核心技术里讲了很多,居然还有人卖这么贵,我就对他来了点兴趣。程序的简介是这样的。
对于程序员来讲,API拦截技术是一种重要的基础技术。这项技能为编写某些工具软件提供了可能,并可以大大提高我们对第三方应用程序的控制能力。不过,目前 API 拦截的技术资料往往局限于原理方面的论述,对于如何具体地编译一个 API 拦截程序却守口如瓶。毕竟,对于程序员来讲,当初学习这项技能花费了不少心血,如果让他们无偿地奉献出来,恐怕不太现实;另外的一个因素就是竞争,多一个人学会这项技能,就多一份竞争。我在掌握这项技能的时候,就走了不少弯路,如果当初有一份详细的资料,这些不必要的弯路是完全可以避免。而这正是我编写这份技术资料的目的。
本程序是一个示例程序,用以演示如何拦截 API 调用。开始拦截 CreateProcess之后,当用户通过资源管理器运行程序时,就会弹出一个对话框提示用户运行了什么程序。停止拦截之后,用户运行程序时则不会弹出对话框。
随本程序附带的教程是未注册版本,如果您需要详细的资料,请通过网上商城进行注册。注册费用为 320 元人民币。最终价格请以网上商城的价格为准。
这就引起了我的好奇,难道这个软件用了什么牛x的新技术?居然这么值钱!那得看看,于是就把该软件下载下来研究了研究。谁知道,他所用的技术不但一点创新都没有,还有着很大的局限性。于是就有了这篇文章,还希望高手不要见笑。
这个程序的原版大家自己找,名字就叫做API拦截教程。启动该程序后,按下拦截createprocess的按钮后,运行任何程序都会弹出运行程序的路径。稍微了解apihook的都了解,通常ring3下hookapi的办法有三种,一是修改程序的iat表,使api调用跳向自己的函数而不是转向api入口。二是修改api入口的机器码。三是用创建远线程CreateRemoteThread的办法来完成。那么这个教程究竟用了什么先进手法呢?
先运行一次,按下按钮后,果然explorer弹出了程序的路径。此时,你如果使用icesword类的可以查看程序模块的程序查看explorer的模块,你就会发现explorer里面多了个InterceptDll.dll的模块,当我们卸载了这个dll后,这个拦截的效果就没有了。看来这个程序的核心不是那个启动的程序,而是这个dll。现在让我们看看这个InterceptDll.dll到底做了什么。
先使用VC++的工具DUMPBIN将DLL中的导出函数表导出到一定义(.DEF)文件
DUMPBIN InterceptDll.dll /EXPROTS /OUT:InterceptDll.def
ordinal hint RVA name

1 0 00001230 InstallHook
2 1 00001270 UninstallHook
只有两个导出函数,看名字就知道,一个是安装钩子,一个卸载钩子。我们调用看看 ,结果连参数都不用,只要调用InstallHook就可以把InterceptDll.dll插入explorer,用UninstallHook就可以卸载钩子。看来我们不用分析他的exe文件了,因为有用的东西就在这个dll里。那么如何分析这个dll这么工作的呢?直接用ida看静态代码,可以看见dll里有vivirtualalloc,setwindowshookexa等钩子函数。但是,里面乜嘢CreateRemoteThread这个函数,那么基本可以排除了第三种方法了。修改iat或者字节数的可能性比较大一些。那么具体究竟是用了什么手段,又是怎么实现的呢?光静态看源代码看出来,我可没那种本事。如果说要实时调试explorer又非常的麻烦,那么怎么办呢?其实办法很简单啦,只要自己修改一个exe文件名让他跟explorer同名就可以了。这家伙可不管你是真李逵还是假李鬼,统统都插!我先写了个很简单的exe程序,只有一个按钮直接掉用createprocess启动notepad的小程序,然后改名为explorer。运行后让程序拦截,果然再用icesword看模块,那个InterceptDll.dll偷偷的钻进了我写的这个程序。
好,现在动手钻进InterceptDll.dll的内部,看看他到底干了什么!我用的是olldbg,其实windbg也可以,我用od习惯了。先附加到我自己写的这个小explorer程序,然后在createprocess下断点,按下启动notepad的按钮,断下以后,一步一步跟踪。当进入到原先createprocess的领空的时候,入口变了
7C802332 >- E9 B9ED7F93 jmp 100010F0
7C802337 6A 00 push 0

变成了跳向100010F0,运行了这个跳转,就进入了dll的程序代码段。具体汇编代码如下。
100010F1 8BEC mov ebp, esp
100010F3 6A FF push -1
100010F5 68 50710010 push 10007150
100010FA 68 7C220010 push 1000227C
100010FF 64:A1 00000000 mov eax, dword ptr fs:[0]
10001105 50 push eax
10001106 64:8925 0000000>mov dword ptr fs:[0], esp
1000110D 83EC 0C sub esp, 0C
10001110 53 push ebx
10001111 56 push esi
10001112 57 push edi
10001113 33C0 xor eax, eax
10001115 8945 E4 mov dword ptr [ebp-1C], eax
10001118 8945 FC mov dword ptr [ebp-4], eax
1000111B 50 push eax
1000111C 68 44710010 push 10007144 ; ASCII "鎎*b"
10001121 8B75 0C mov esi, dword ptr [ebp+C]
10001124 56 push esi
10001125 50 push eax
10001126 FF15 FC700010 call dword ptr [100070FC] ; USER32.MessageBoxW
1000112C 8B45 2C mov eax, dword ptr [ebp+2C]
1000112F 50 push eax
10001130 8B4D 28 mov ecx, dword ptr [ebp+28]
10001133 51 push ecx
10001134 8B55 24 mov edx, dword ptr [ebp+24]
10001137 52 push edx
10001138 8B45 20 mov eax, dword ptr [ebp+20]
1000113B 50 push eax
1000113C 8B4D 1C mov ecx, dword ptr [ebp+1C]
1000113F 51 push ecx
10001140 8B55 18 mov edx, dword ptr [ebp+18]
10001143 52 push edx
10001144 8B45 14 mov eax, dword ptr [ebp+14]
10001147 50 push eax
10001148 8B4D 10 mov ecx, dword ptr [ebp+10]
1000114B 51 push ecx
1000114C 56 push esi
1000114D 8B55 08 mov edx, dword ptr [ebp+8]
10001150 52 push edx
10001151 E8 7AFFFFFF call 100010D0
当运行到 call 100010D0 时开始跳回原领空
call 100010D0里面的实际代码是这样的。
100010D0 8BFF mov edi, edi
100010D2 55 push ebp
100010D3 8BEC mov ebp, esp
100010D5 - E9 5D12806C jmp kernel32.7C802337
而 kernel32.7C802337处
100010D0 8BFF mov edi, edi
100010D2 55 push ebp
100010D3 8BEC mov ebp, esp
正是原本createprocess代码接下来的一段
到这里,这个dll的hook功能就真相大白了,他完全没有使用什么新技术来完成hook。照样是修改api函数的头5个字节,然后跳转到自己的函数,之后再构造一个类似的头,最后跳回原来的api领空继续运行。这个完全就是windows核心编程里的代码的照抄,就这抄一下就要人320元,是在有点太黑了吧!
更为重要的是,apihook中这样的hook有很大的缺陷,为什么这么说呢?我们可以看见他是将入口修改为 jmp 100010F0
7C802332 >- E9 B9ED7F93 jmp 100010F0
我们知道一般的api函数头部是不会出现这样的远距离的jmp的,所以只要检测api的函数头一个字节是否e9就可以很轻松的检测出api是否被hook住了。还有一个问题就是,如果我们的目的并不停止于,只是在api函数处理之前修改某些入口函数或者做些处理,而是整个重新处理而不回到系统的api处理处,这个流程也不符合我们的要求。
不过没有关系,既然现在我们已经知道了这个dll工作的大至流程,我们也可以自己写一个拦截createprocess的dll了,而我们把这个程序改进一下,使他成为一个全局的钩子,而且我们可以选择程序的开启,在程序开启以前弹出一个msgbox,上面有是和否的按钮,你按下是程序就不能启动,而按下否程序就照常启动,而弹出的按钮里不但有这个程序的路径,还有启动这个程序的路径。怎么样,比他的还要高级一些吧。


我想说一句,大家不要总说Detours,因为表面上Detours可以很容易的钩住api,但是他的自由度太低了。最重要的是,他无法完成ssdt hook,还是提高自己的水平最重要。
我改出了两个版本一个是asm的一个是vc的,但是奇怪的是asm代码没有问题,而vc的代码却出了问题,我希望高手能帮我解决以下两个问题,
...全文
130 17 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
17 条回复
切换为时间正序
请发表友善的回复…
发表回复
一笑拔剑 2009-06-13
  • 打赏
  • 举报
回复
[Quote=引用 14 楼 Tippisum 的回复:]
所谓的“全局钩子”,顾名思义,就是插到系统里的钩子……也就是系统范围里的消息都能拦截的。

其实杀毒软件一般都是直接注册一个系统服务,然后截获native API。
这个的好处是没有进程也没有模块。(我们平时在任务栏里看到的那个,其实只是一个界面)而且只要是API调用,就铁定逃不掉。(不过有的病毒会调用一些不常用的API来达到相同的目的,以躲避杀毒软件的监控。再次鄙视Windows的安全性……)
不过当然,这样的话…
[/Quote]
这个说法不对

其实全局钩子并不一定要使用hook native API

以前有个api hook lib的程序

他是使用先hook住所有正在运行的进程,然后hook住它们的creatprocess函数,只要启动就插入dll

这样也可以完成全局钩子的目的

而且全局钩子还有一些特例 比如键盘钩子,甚至连apihook都不用使用 setwindowshook就可以了

所以也不能一概而论

还有有关
其实杀毒软件一般都是直接注册一个系统服务,然后截获native API。
这个的好处是没有进程也没有模块。
这个说法是错误的,注册系统服务的话,是可以看见进程或者模块的
杀毒软件的办法有部分是使用ssdt hook有部分是使用驱动来hook,但是如果你使用一些特殊的工具象icesword之类还是可以在系统模块里看见他们挂上的模块 只是用普通的进程工具看不出来而已
Tippisum 2009-06-13
  • 打赏
  • 举报
回复
所谓的“全局钩子”,顾名思义,就是插到系统里的钩子……也就是系统范围里的消息都能拦截的。

其实杀毒软件一般都是直接注册一个系统服务,然后截获native API。
这个的好处是没有进程也没有模块。(我们平时在任务栏里看到的那个,其实只是一个界面)而且只要是API调用,就铁定逃不掉。(不过有的病毒会调用一些不常用的API来达到相同的目的,以躲避杀毒软件的监控。再次鄙视Windows的安全性……)
不过当然,这样的话ring3就不成了。
一笑拔剑 2009-06-13
  • 打赏
  • 举报
回复
[Quote=引用 8 楼 OrochiZ 的回复:]
在我这总得把
str1 LPSTR ? 改成 str1 db 120 dup(?) 才能正常
不然运行invoke WideCharToMultiByte,CP_ACP, 0, lp2, 120, addr str1, 120,NULL,NULL的时候
str1的内容会覆盖掉后面的Papi1,ApiBak1什么的
程序基本上就乱来了

另外“全局的钩子”是什么意思
我怎么觉得还是插进谁,才能钩住谁,对别的程序没有影响啊
InstallHook什么的,根本没被调用吧
[/Quote]
你可以不用WideCharToMultiByte转换
内部问题大大的有
其实我这个程序只是个演示

具体的mycreateprocess还是要你自己写的
一笑拔剑 2009-06-13
  • 打赏
  • 举报
回复
[Quote=引用 8 楼 OrochiZ 的回复:]
在我这总得把
str1 LPSTR ? 改成 str1 db 120 dup(?) 才能正常
不然运行invoke WideCharToMultiByte,CP_ACP, 0, lp2, 120, addr str1, 120,NULL,NULL的时候
str1的内容会覆盖掉后面的Papi1,ApiBak1什么的
程序基本上就乱来了

另外“全局的钩子”是什么意思
我怎么觉得还是插进谁,才能钩住谁,对别的程序没有影响啊
InstallHook什么的,根本没被调用吧
[/Quote]
你可以用cbt的钩子
我这里使用setwindowshook只是hook住了有窗口的程序

你不信可以用InstallHook试一下就明白了

不需要你指定目标 可以插入多个程序,只要有窗体都可以插入

当然如果你要对某些程序开始就插入你的hook 最好的办法就是自己去createprocess然后暂停插入
glacier3d 2009-06-13
  • 打赏
  • 举报
回复
OrochiZ01 2009-06-13
  • 打赏
  • 举报
回复
不会编程好痛苦
楼主要能把这代码改成什么全局钩子
有进程创建时,把 时间+程序名+命令行 追加存入文件 就好了
==============
一个ID只能连续回复3次
加好友需要人工审核
CSDN太恐怖了
这网站功能来自白垩纪的吧
地球上好像早已经没有此网站的近亲存活了
OrochiZ 2009-06-13
  • 打赏
  • 举报
回复
也可以继续在VC里用汇编啊

DWORD dwAddrPtr;
__asm
{
mov eax,offset MyCreateProcessA
};
__asm
{
mov dwAddrPtr, eax
};
编译未报错,未实际运行测试
OrochiZ 2009-06-13
  • 打赏
  • 举报
回复
关于获取VC中函数的地址
给你个笨办法
BYTE btNewBytes[8]={0xB8,0xE0,0x18,0x00,0x10,0xFF,0xE0,0x00};

union
{
int (*pFunc)(const char *,char *,struct _SECURITY_ATTRIBUTES *,struct _SECURITY_ATTRIBUTES *,int,unsigned long,void *,const char *,struct _STARTUPINFOA *,struct _PROCESS_INFORMATION *);
BYTE AddrFunc[4];
}AddrConv;


AddrConv.pFunc = MyCreateProcessA;

btNewBytes[1] = AddrConv.AddrFunc[0];
btNewBytes[2] = AddrConv.AddrFunc[1];
btNewBytes[3] = AddrConv.AddrFunc[2];
btNewBytes[4] = AddrConv.AddrFunc[3];

Tippisum 2009-06-13
  • 打赏
  • 举报
回复
啊……谢谢
受教育了。
OrochiZ 2009-06-13
  • 打赏
  • 举报
回复
在我这总得把
str1 LPSTR ? 改成 str1 db 120 dup(?) 才能正常
不然运行invoke WideCharToMultiByte,CP_ACP, 0, lp2, 120, addr str1, 120,NULL,NULL的时候
str1的内容会覆盖掉后面的Papi1,ApiBak1什么的
程序基本上就乱来了

另外“全局的钩子”是什么意思
我怎么觉得还是插进谁,才能钩住谁,对别的程序没有影响啊
InstallHook什么的,根本没被调用吧
wxgiter 2009-06-12
  • 打赏
  • 举报
回复
学习~~
今天看个利用底层键盘钩子屏蔽任意按键的dll都不太懂。。。。。--!
一笑拔剑 2009-06-12
  • 打赏
  • 举报
回复
我可没把他破解了

我只是另写了一个代码

这不犯法吧!
fbzok 2009-06-12
  • 打赏
  • 举报
回复
中立的立场:现在搞个钱还真不容易啊。。。
pla_007 2009-06-12
  • 打赏
  • 举报
回复
mark学习之
谢谢分享
一笑拔剑 2009-06-12
  • 打赏
  • 举报
回复
源代码地址
http://download.csdn.net/source/1402519
一笑拔剑 2009-06-12
  • 打赏
  • 举报
回复
我想说一句,大家不要总说Detours,因为表面上Detours可以很容易的钩住api,但是他的自由度太低了。最重要的是,他无法完成ssdt hook,还是提高自己的水平最重要。
我改出了两个版本一个是asm的一个是vc的,但是奇怪的是asm代码没有问题,而vc的代码却出了问题,我希望高手能帮我解决以下两个问题,



第一个问题:就是在vc代码中(根据王艳萍的windows程序设计代码修改)
在构建新的跳转字节是靠这段代码
BYTE btNewBytes[8]={0xB8,0xE0,0x18,0x00,0x10,0xFF,0xE0,0x00};
这个机器吗的含义是,jmp到我们自己定义的MyCreateProcessA函数处。
这里使用是固定值,只要我们稍微修改一下代码,这里就要修改,很麻烦的是,如果使用非debug版本,你找不到jmp到这个函数的直接代码,需要你自己去调试查找非常麻烦。
而asm中是自己动态获得的
获得代码如下
mov hacker.a,0B8h ;mov eax,
;mov hacker.d PMyapi ;0x000000
mov hacker.d,0FFh ;jmp
mov hacker.e, 0E0h ;eax
中间有间隔
mov hacker.PMyapi,offset MyAPI ;0x000010 ;要替代API的函数地址
这样的话,完全不用考虑api的地址由程序自己来定位,由于本人vc功力不够,实在不知道如何实现这个代码,希望高手能指点一二。



第二个问题相对简单点,大家可以看见,我asm的代码中钩的是createprocessw而vc钩的是createprocessa,为什么呢?explorer实际上是调用createprocessw来启动程序的,用createprocessa是钩不住explorer启动的程序。而我在用vc写createprocessw钩子的时候,解决不了unicode的问题,因为MyCreateProcessA的特殊性,他要求跟原来的函数格式一样,所以只要我一使用WideCharToMultiByte这类的函数,返回值就出错了。而如果完全用unicode来写这个函数,我又不知道LPSTARTUPINFO这个的宽字符格式是什么?所以也请高手同样给与指点!




#pragma comment(linker,"/BASE:0xBFF70000")
#include "stdafx.h"
#include "dllin.h"

PROC m_pfnOrig;
BYTE m_btNewBytes[8];
BYTE m_btOldBytes[8];
HMODULE m_hMod;

BOOL WriteBack()
{
if(m_pfnOrig != NULL)
{
DWORD dwOldProtect;
MEMORY_BASIC_INFORMATION mbi;
::VirtualQuery(m_pfnOrig, &mbi, sizeof(mbi));
::VirtualProtect(m_pfnOrig, 8, PAGE_READWRITE, &dwOldProtect);

// 写入原来的执行代码
::WriteProcessMemory(::GetCurrentProcess(), (void *)m_pfnOrig,
m_btOldBytes, sizeof(DWORD)*2, NULL);

::VirtualProtect(m_pfnOrig, 8, mbi.Protect, 0);
return true;
}
return false;
}

BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{ BYTE btNewBytes[8]={0xB8,0xE0,0x18,0x00,0x10,0xFF,0xE0,0x00};


memcpy(m_btNewBytes,btNewBytes,8);
if (ul_reason_for_call==DLL_PROCESS_ATTACH) //当DLL加载时产生此事件
{

m_hMod=::LoadLibrary("kernel32.dll"); //取API地址 //保存API地址


if (m_hMod==NULL)

{
m_pfnOrig=NULL;
return true;
}
m_pfnOrig=::GetProcAddress(m_hMod,"CreateProcessA");

if (m_pfnOrig!=NULL)

{
DWORD oldProc;
MEMORY_BASIC_INFORMATION mbi;
::VirtualQuery (m_pfnOrig,&mbi,sizeof(mbi));
::VirtualProtect( m_pfnOrig,8,PAGE_READWRITE,&oldProc);
memcpy(m_btOldBytes,m_pfnOrig,8);
::WriteProcessMemory(::GetCurrentProcess(),(void*)m_pfnOrig,m_btNewBytes,sizeof(DWORD)*2,NULL);
::VirtualProtect( m_pfnOrig,8,mbi.Protect ,0);
return true;
}
}
if (ul_reason_for_call==DLL_PROCESS_DETACH) //当DLL加载时产生此事件
{
WriteBack();
return TRUE;
}

return TRUE;
}








BOOL Rehook()
{
// 修改原API函数执行代码的前8个字节,使它跳向我们的函数
if(m_pfnOrig != NULL)
{
DWORD dwOldProtect;
MEMORY_BASIC_INFORMATION mbi;
::VirtualQuery( m_pfnOrig, &mbi, sizeof(mbi) );
::VirtualProtect(m_pfnOrig, 8, PAGE_READWRITE, &dwOldProtect);

// 写入新的执行代码
::WriteProcessMemory(::GetCurrentProcess(), (void *)m_pfnOrig,
m_btNewBytes, sizeof(DWORD)*2, NULL);

::VirtualProtect(m_pfnOrig, 8, mbi.Protect, 0);
return true;
}
return FALSE;
}


BOOL MyCreateProcessA(
LPCTSTR lpApplicationName, // pointer to name of executable module
LPTSTR lpCommandLine, // pointer to command line string
LPSECURITY_ATTRIBUTES lpProcessAttributes, // pointer to process security attributes
LPSECURITY_ATTRIBUTES lpThreadAttributes, // pointer to thread security attributes
BOOL bInheritHandles, // handle inheritance flag
DWORD dwCreationFlags, // creation flags
LPVOID lpEnvironment, // pointer to new environment block
LPCTSTR lpCurrentDirectory, // pointer to current directory name
LPSTARTUPINFO lpStartupInfo, // pointer to STARTUPINFO
LPPROCESS_INFORMATION lpProcessInformation // pointer to PROCESS_INFORMATION
)
{
PROCESS_INFORMATION ProcessInfo;

WriteBack();

DWORD rets=::MessageBox(NULL,GetCommandLine(),lpApplicationName,4);

if (rets!=7)
{
BOOL shutok=::CreateProcess(
lpApplicationName, // pointer to name of executable module
lpCommandLine, // pointer to command line string
lpProcessAttributes, // pointer to process security attributes
lpThreadAttributes, // pointer to thread security attributes
bInheritHandles, // handle inheritance flag
CREATE_SUSPENDED, // creation flags
lpEnvironment, // pointer to new environment block
lpCurrentDirectory, // pointer to current directory name
lpStartupInfo, // pointer to STARTUPINFO
&ProcessInfo // pointer to PROCESS_INFORMATION
);

//HANDLE hProcess1=ProcessInfo.hProcess;
//RemoteLoadLibrary(hProcess1,"hook.dll");
//ResumeThread(ProcessInfo.hThread);
}

Rehook();
__asm
{
mov eax,shutok;
leave;
ret 40;
}

return 0;
}
一笑拔剑 2009-06-12
  • 打赏
  • 举报
回复
(asm代码改自nohack的代码)
ASM的代码如下:


;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>;
; 原代码编写 by hacker0058
; aspower 稍做修改
汇编(MASM):最简单的HOOK API ;
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>;


.486
.model flat,stdcall
option casemap:none

include windows.inc
include kernel32.inc
include winmm.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
include psapi.inc
includelib psapi.lib
;include winmm.inc
;includelib winmm.lib


HOOKAPI struct
a byte ?
PMyapi DWORD ?
d BYTE ?
e BYTE ?
HOOKAPI ends


;子程序声明
WriteApi proto :DWORD ,:DWORD,:DWORD,:DWORD
MyAPI proto :DWORD ,:DWORD ,:DWORD ,:DWORD ,:DWORD ,:DWORD ,:DWORD ,:DWORD ,:DWORD ,:DWORD
GetApi proto :DWORD,:DWORD


;已初始化数据
.data
hInstance dd 0
WProcess dd 0
hacker HOOKAPI <>
CommandLine LPSTR ?
str1 LPSTR ?


Papi1 DWORD ?
Myapi1 DWORD ?
ApiBak1 db 10 dup(?)

DllName1 db "kernel32.dll",0
ApiName1 db "CreateProcessW",0



;未初始化数据

.data?
hHook dd ?
hWnd dd ?

;程序代码段

.code


;****************************************************************

;DLL入口点

DllEntry proc hInst:HINSTANCE, reason:DWORD, reserved1:DWORD


.if reason==DLL_PROCESS_ATTACH ;当DLL加载时产生此事件
push hInst
pop hInstance

invoke GetCommandLine
mov CommandLine,eax ;取程序命令行

;初始化

mov hacker.a,0B8h ;mov eax,
;mov hacker.d PMyapi ;0x000000
mov hacker.d,0FFh ;jmp
mov hacker.e, 0E0h ;eax

invoke GetCurrentProcess ;取进程伪句柄

mov WProcess ,eax

invoke GetApi,addr DllName1,addr ApiName1 ;取API地址

mov Papi1,eax ;保存API地址

invoke ReadProcessMemory,WProcess,Papi1,addr ApiBak1,8,NULL ;备份原API的前8字节

mov hacker.PMyapi,offset MyAPI ;0x000010 ;要替代API的函数地址

invoke WriteApi,WProcess,Papi1, addr hacker ,size HOOKAPI ;HOOK API

.endif

.if reason==DLL_PROCESS_DETACH

invoke WriteApi,WProcess,Papi1, addr ApiBak1 ,8 ;还原API

.endif

mov eax,TRUE
ret
DllEntry Endp

;****************************************************************


GetMsgProc proc nCode:DWORD,wParam:DWORD,lParam:DWORD
invoke CallNextHookEx,hHook,nCode,wParam,lParam
mov eax,TRUE

ret
GetMsgProc endp

;****************************************************************


InstallHook proc



invoke SetWindowsHookEx,WH_GETMESSAGE,addr GetMsgProc,hInstance,NULL
mov hHook,eax
ret
InstallHook endp

UninstallHook proc


invoke UnhookWindowsHookEx,hHook
invoke WriteApi,WProcess,Papi1, addr ApiBak1 ,8
ret
UninstallHook endp


;*****************************************************************

GetApi proc DllNameAddress:DWORD,ApiNameAddress:DWORD

invoke GetModuleHandle,DllNameAddress ;取DLL模块句柄

.if eax==NULL

invoke LoadLibrary ,DllNameAddress ;加载DLL

.endif

invoke GetProcAddress,eax,ApiNameAddress ;取API地址


mov eax,eax

ret

GetApi endp


;*********************************下面是核心部分*****************

WriteApi proc Process:DWORD ,Papi:DWORD,Ptype:DWORD,Psize:DWORD

LOCAL mbi:MEMORY_BASIC_INFORMATION
LOCAL msize:DWORD


;返回页面虚拟信息
invoke VirtualQueryEx,Process, Papi,addr mbi,SIZEOF MEMORY_BASIC_INFORMATION

;修改为可读写模式

invoke VirtualProtectEx,Process, mbi.BaseAddress,8h,PAGE_EXECUTE_READWRITE,addr mbi.Protect

;开始写内存

invoke WriteProcessMemory,Process, Papi, Ptype,Psize ,NULL

PUSH eax

;改回只读模式

invoke VirtualProtectEx,Process,mbi.BaseAddress,8h,PAGE_EXECUTE_READ,addr mbi.Protect
pop eax





ret

WriteApi endp

;*******************************************************************


;替代的API,参数要和原来一样

MyAPI proc lp1:DWORD ,lp2:DWORD,lp3:DWORD,lp4:DWORD,lp5:DWORD,lp6:DWORD,lp7:DWORD,lp8:DWORD,lp9:DWORD,lp10:DWORD,

mov eax,CommandLine
;mov CommandLine,eax
invoke WideCharToMultiByte,CP_ACP, 0, lp2, 128, addr str1, 128,NULL,NULL

;如果选择否
invoke MessageBoxEx, NULL,addr str1, CommandLine, 4,NULL


.if eax==7
invoke WriteApi,WProcess,Papi1, addr ApiBak1 ,8 ;先还原API
invoke CreateProcessW,lp1,lp2,lp3,lp4,lp5,lp6,lp7,lp8,lp9,lp10
PUSH eax
invoke WriteApi,WProcess,Papi1, addr hacker ,sizeof HOOKAPI ;调用完后再改回来



pop eax
ret

.endif

mov eax,0
ret

MyAPI endp

;*******************************************************************

End DllEntry

21,497

社区成员

发帖
与我相关
我的任务
社区描述
汇编语言(Assembly Language)是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言,亦称为符号语言。
社区管理员
  • 汇编语言
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧