Hook原理

对于会Hook的人来说,Hook其实也就那么回事.对于没有Hook过的人来说,会感觉Hook很高大上(其实也没毛病).

那么今天我们就来探讨一些Hook的原理是什么.

我认为任何Hook都可以分为以下三步(简称WFH):

需要Hook的是什么,在哪里(后面简称Where).
寻找到Hook的地方.(后面简称Find)
进行Hook.(后面简称Hook)

当然了同一个类型的Hook所在的地方一般是一样的.但寻找到Hook的地方,和进行Hook却会有许多不同的方法.我们要抓住的是不变的地方.

根据这3点我们举例来验证一下.

Hook API

第一个我尽量说得详细一些.

举例子:Hook API:OpenProcess 让win10 64位的任务管理器关闭不了任何程序.

1. Where.

Hook API:OpenProcess. 在kernelbase.dll里面.

2.Find.

方式1:

通过LoadLibrary加载kernelbase.dll模块基地址.
通过GetProcAddress获取OpenProcess的地址.

方式2:编程直接引用OpenProcess的地址,因为在Windows下3大模块user32.dll,kernelbase.dll,ntdll.dll的加载基地址在每个应用程序中都是一样的.

方式3:通过寻找目标的IAT找到OpenProcess

3.Hook.

方式1:通过注入dll到目标进程进行,可以替换kernelbase.dll里面的OpenProcess的前面5个字节为jmp跳转到我们自己的地址,也可以修改目标进程的IAT.

方式2:通过WriteProcessMemory写入代码,修改目标进程的OpenProcess跳转到我们的代码.

代码实例:F1+H1(Find的第二种方式,Hook的第一种方式,后面不再说明):

新建一个dll文件:

在dll文件里面写如下代码

如果你的win10是64位的就编译64位的,32位就编译32位的

/``/` `dllmain.cpp : 定义 DLL 应用程序的入口点。``DWORD oldProtect;``BYTE JmpBtye[``5``];``BYTE OldByte[``5``];``void ``*` `OpenProcessaddr;``bool` `H1_OpenProcess();``void UnHook();``BOOL` `APIENTRY DllMain( HMODULE hModule,``            ``DWORD ul_reason_for_call,``            ``LPVOID lpReserved``           ``)``{``  ``switch (ul_reason_for_call)``  ``{``  ``case DLL_PROCESS_ATTACH:``    ``H1_OpenProcess();``    ``break``;``  ``case DLL_PROCESS_DETACH:``    ``UnHook();``    ``break``;``  ``}``  ``return` `TRUE;``}` `HANDLE MyOpenProcess(``  ``DWORD dwDesiredAccess,``  ``BOOL` `bInheritHandle,``  ``DWORD dwProcessId)``{``  ``dwDesiredAccess &``=` `~PROCESS_TERMINATE;``/``/``去掉关闭程序的权限``  ``UnHook();``/``/``恢复Hook 任何调整到原来的地方执行.``  ``HANDLE h ``=` `OpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);``  ``H1_OpenProcess();``  ``return` `h;``}`  `void ``*` `F1_OpenProcess()``{``  ``/``/``寻找到OpenProcess的地址``  ``void ``*` `addr ``=` `0``;``  ``/``/``加载kernel32.dll``  ``HMODULE hModule ``=` `LoadLibraryA(``"kernelbase.dll"``);``  ``/``/``获取OpenProcess的地址``  ``addr``=``(void ``*``)GetProcAddress(hModule, ``"OpenProcess"``);``  ``return` `addr;``}` `void ``*` `F2_OpenProcess()``{``  ``return` `(void ``*``)OpenProcess;``}` `bool` `H1_OpenProcess()``{``  ``/``/``1.``开始寻找地址``  ``void ``*` `addr ``=` `F1_OpenProcess();``  ``OpenProcessaddr ``=` `addr;``  ``/``/``判断是否寻找成功``  ``if` `(addr ``=``=` `0``)``  ``{``    ``MessageBoxA(NULL,``"寻找地址失败"``,NULL,``0``);``    ``return` `false;``  ``}``  ``/``/``2.``进行Hook` `  ``/``*``  ``一般代码段是不可写的,我们需要把其改为可读可写.``  ``*``/``  ``VirtualProtect((void ``*``)addr, ``5``, PAGE_EXECUTE_READWRITE,&oldProtect);` `  ``/``/``修改前面的``5``个字节为jmp 跳转到我们的代码.``  ``/``/``内联Hook 跳转偏移计算方式:跳转偏移``=``目标地址``-``指令地址``-``5``  ``/``/``jmp 的OpCode 为:``0xE9` `  ``JmpBtye[``0``] ``=` `0xE9``;``  ``*``(DWORD ``*``)&JmpBtye[``1``] ``=` `(DWORD)((``long` `long``)MyOpenProcess ``-` `(``long` `long``)addr ``-` `5``);``  ``/``/``保存原先字节``  ``memcpy(OldByte, (void ``*``)addr, ``5``);``  ``/``/``替换原先字节``  ``memcpy((void ``*``)addr, JmpBtye, ``5``);``}` `void UnHook()``{``  ``/``/``恢复原先字节``  ``memcpy((void ``*``)OpenProcessaddr, OldByte, ``5``);``  ``/``/``恢复属性``  ``DWORD p;``  ``VirtualProtect((void ``*``)OpenProcessaddr, ``5``, oldProtect, &p);``}

把dll注入任务管理器,因为注入不是我们主题,所以这里我只是简单的贴出代码,直接拿来用就可以

```

#include <windows.h>

/``/``获取进程句柄``HANDLE GetThePidOfTargetProcess(HWND hwnd)``{`` ``DWORD pid;`` ``GetWindowThreadProcessId(hwnd, &pid);`` ``HANDLE hProcee ``= ::OpenProcess(PROCESS_ALL_ACCESS | PROCESS_CREATE_THREAD, ``0``, pid);`` ``return hProcee;``}``/``/``提升权限``void Up()``{`` ``HANDLE hToken;`` ``LUID luid;`` ``TOKEN_PRIVILEGES tp;`` ``OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);`` ``LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid);`` ``tp.PrivilegeCount ``= 1``;`` ``tp.Privileges[``0``].Attributes ``= SE_PRIVILEGE_ENABLED;`` ``tp.Privileges[``0``].Luid ``= luid;`` ``AdjustTokenPrivileges(hToken, ``0``, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);``} /``/``进程注入 BOOL DoInjection(char ``*``DllPath, HANDLE hProcess)``{`` ``DWORD BufSize ``= strlen(DllPath)``+``1``;`` ``LPVOID AllocAddr ``= VirtualAllocEx(hProcess, NULL, BufSize, MEM_COMMIT, PAGE_READWRITE);`` ``WriteProcessMemory(hProcess, AllocAddr, DllPath, BufSize, NULL);`` ``PTHREAD_START_ROUTINE pfnStartAddr ``= (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT(``"Kernel32"``)), ``"LoadLibraryA"``); ``HANDLE hRemoteThread;`` ``hRemoteThread ``= CreateRemoteThread(hProcess, NULL, ``0``, pfnStartAddr, AllocAddr, ``0``, NULL);`` ``if (hRemoteThread)`` ``{`` ``MessageBox(NULL, TEXT(``"注入成功"``), TEXT(``"提示"``), MB_OK);`` ``return true;`` ``}`` ``else`` ``{`` ``MessageBox(NULL, TEXT(``"注入失败"``), TEXT(``"提示"``), MB_OK);`` ``return false;`` ``}``} int main()``{`` ``/``/``这里填写窗口标题`` ``HWND hwnd``=``FindWindowExA(NULL, NULL, NULL, ``"任务管理器"``);`` ``Up();`` ``HANDLE hP ``= `GetThePidOfTargetProcess(hwnd);//开始注入//这里填写Dll路径DoInjection("E:\\studio\\VS2017\\F2H1.MessageBox\\x64\\Release\\F2H1.MessageBox.dll", hP);``}``````

注入之后看效果

)

其实还有很多方式,剩下的方式你就可以自己慢慢尝试了.

SSDT Hook.

刚才说了用户层的Hook,接下来我们再说一下内核层的Hook,其实还是3歩曲.WFH

（免费订阅,永久学习）学习地址: Dpdk/网络协议栈/vpp/OvS/DDos/NFV/虚拟化/高性能专家-学习视频教程-腾讯课堂

更多DPDK相关学习资料有需要的可以自行报名学习,免费订阅,永久学习,或点击这里加qun免费
领取,关注我持续更新哦! !

实现相似的功能,让所有程序关闭不了自己的程序.

1.Where

Windows 操作系统共有4个系统服务描述符.其中只用了两个,第一个是SSDT,第二个是ShadowSSDT

系统描述符结构如下:

typedef struct _KSYSTEM_SERVICE_TABLE``{``  ``ULONG ``*``ServiceTableBase;    ``/``/` `服务表基址 第一个表示SSDT 紧接着下一个ShadowSSDT``  ``ULONG ``*``ServiceCounterTableBase; ``/``/` `计数表基址``  ``ULONG NumberOfServices;     ``/``/` `表中项的个数``  ``UCHAR ``*``ParamTableBase;     ``/``/` `参数表基址``}KSYSTEM_SERVICE_TABLE, ``*``PKSYSTEM_SERVICE_TABLE;

SSDT Hook:NtOpenProcess,在ntkrnlpa.exe内核模块中的系统服务描述符表中的SSDT表中的第190号.

使用PCHunter32查看

2.Find

方式1:在Win7 32下,系统服务描述符表直接导出符号KeServiceDescriptorTable,可以直接获取其地址,然后通过其第一个ServiceTableBase就是SSDT的地址,接着找到第190号函数.

方式2:可以通过PsGetCurrentThread 获取ETHREAD结构,该结构的第一个字段KTHREAD有一个字段ServiceTable保存着系统描述符表的地址KeServiceDescriptorTable.通过其第一个ServiceTableBase就是SSDT的地址,接着找到第190号函数.

0``: kd> u PsGetCurrentThread``nt!PsGetCurrentThread:``840473f1` `64a124010000`  `mov   eax,dword ptr fs:[``00000124h``] ;ETHREAD``840473f7` `c3       ret

3.Hook

方式1:替换找到的地方,换成我们自己的函数

方式2:获取找到的地方的函数指针,改变其代码跳转到自己的代码(其实就是inline Hook).

例子:F2H1

新建一个驱动程序:

2.代码如下:

#include <ntifs.h>``#pragma pack(1)``typedef struct _KSYSTEM_SERVICE_TABLE``{``  ``ULONG ``*``ServiceTableBase;    ``/``/` `服务表基址 第一个表示SSDT 紧接着下一个是ShadowSSDT``  ``ULONG ``*``ServiceCounterTableBase; ``/``/` `计数表基址``  ``ULONG NumberOfServices;     ``/``/` `表中项的个数``  ``UCHAR ``*``ParamTableBase;     ``/``/` `参数表基址``}KSYSTEM_SERVICE_TABLE, ``*``PKSYSTEM_SERVICE_TABLE;``#pragma pack()` `void ``*``OldNtProcess ``=` `0``;` `/``/` `导入系统描述符表``extern ``"C"` `NTSYSAPI KSYSTEM_SERVICE_TABLE KeServiceDescriptorTable;` `typedef NTSTATUS(NTAPI ``*``NTOPENPROCESS)(PHANDLE ProcessHandle,``  ``ACCESS_MASK DesiredAccess,``  ``POBJECT_ATTRIBUTES ObjectAttributes,``  ``PCLIENT_ID ClientId);` `NTOPENPROCESS g_NtOpenProcess ``=` `NULL;` `NTSTATUS NTAPI MyOpenProcess(``  ``PHANDLE ProcessHandle,``  ``ACCESS_MASK DesiredAccess,``  ``POBJECT_ATTRIBUTES ObjectAttributes,``  ``PCLIENT_ID ClientId``)``{` `  ``if` `(ClientId``-``>UniqueProcess ``=``=` `(HANDLE)``916``)``/``/``指定保护的进程``ID``  ``{``    ``return` `STATUS_ABANDONED;``  ``}` `  ``return` `g_NtOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);``}`  `void OffProtect()``{``  ``__asm { ``/``/``关闭内存保护``    ``push eax;``    ``mov eax, cr0;``    ``and` `eax, ~``0x10000``;``/``/``关闭CR0.WP位，关闭页保护``    ``mov cr0, eax;``    ``pop eax;``  ``}``}``void OnProtect()``{``  ``__asm { ``/``/``恢复内存保护``    ``push eax;``    ``mov eax, cr0;``    ``or` `eax, ``0x10000``;``/``/``开启CR0.WP位，开启页保护``    ``mov cr0, eax;``    ``pop eax;``  ``}``}``void ``*` `F1_NtOpenProcess()``{` `  ``return` `(void ``*``)&KeServiceDescriptorTable.ServiceTableBase[``190``];``}` `void ``*` `F2_NtOpenProcess()``{``  ``PETHREAD eThread ``=` `PsGetCurrentThread();``  ``PKSYSTEM_SERVICE_TABLE kServiceTable ``=` `(PKSYSTEM_SERVICE_TABLE)(``*``(ULONG ``*``)((ULONG)eThread ``+` `0xbc``));``  ``return` `(void ``*``)&kServiceTable``-``>ServiceTableBase[``190``];` `}` `bool` `H1_NtOpenProcess()``{``  ``OldNtProcess ``=` `F2_NtOpenProcess();``/``/``Find``  ``g_NtOpenProcess ``=` `(NTOPENPROCESS)(``*``(ULONG ``*``)OldNtProcess);``/``/``保存就地址``  ``OffProtect();``/``/``由于SSDT表是只读的所以需要关闭页写入保护``  ``(``*``(ULONG ``*``)OldNtProcess) ``=` `(ULONG)MyOpenProcess;``/``/``写入自己的函数地址``  ``OnProtect();``/``/``恢复``  ``return` `true;``}` `void UnHook()``{``  ``OffProtect();``/``/``由于SSDT表是只读的所以需要关闭页写入保护``  ``(``*``(ULONG ``*``)OldNtProcess) ``=` `(ULONG)g_NtOpenProcess;``/``/``恢复函数``  ``OnProtect();``/``/``恢复``}`  `void Unload(PDRIVER_OBJECT pDri)``{``  ``UNREFERENCED_PARAMETER(pDri);``  ``UnHook();``}` `extern ``"C"` `NTSTATUS DriverEntry(PDRIVER_OBJECT pDri, PUNICODE_STRING pRegStr)``{` `  ``UNREFERENCED_PARAMETER(pRegStr);``  ``pDri``-``>DriverUnload ``=` `Unload;``  ``H1_NtOpenProcess();``  ``return` `STATUS_SUCCESS;``}

加载驱动程序(自己写的一个小工具,也可以网上下载)

)

4.查看效果

SYSENTRY Hook

这里我再说一些Hook,也是3歩曲WFH.但是我不再提供具体实现.

我们知道以前windows系统是通过``int` `2e``中断进入系统内核的,但是现在是通过cpu提供的一个功能sysentry进入系统的(``32``位是sysentry,``64``位是syscall).这是一个CPU指令,如果对该指令不知道的话,可以查看我另外一篇文章:

1.Where

SYSENTRY Hook:``190``号功能号,功能号保存在eax中.` `SYSENTRY指令进入系统内核的地址保存在MSR寄存器里面的``*``*``IA32_SYSENTER_EIP``*``*` `(``0x176``)号寄存器.

2.Find

通过指令rdmsr读取``*``*``IA32_SYSENTER_EIP``*``*` `MSR寄存器.其中ecx保存的是读取msr的序号,也就是``0x176``号,返回的结果保存在edx:eax(``64``位,edx保存高``32``位,eax保存低``32``位).因为是``32``位系统,所以只需要eax的值即可.

3.Hook

通过wrmsr写入我们自己的地址,地址放在edx:eax(``64``位,edx保存高``32``位,eax保存低``32``位).即可完成Hook.

Object Hook

每一个不同的内核对象,都对应着一个不同的类型索引:TypeIndex.通过该索引可以找到该内核对象的类型:OBJECT_TYPE

1.Where

在内核对象的TypeInfo中.

2.Find

通过ObGetObjectType内核函数获取内核对象类型(OBJECT_TYPE)的OBJECT_TYPE中有一个字段TypeInfo(类型_OBJECT_TYPE_INITIALIZER),其中保存着,在创建内核对象,销毁内核对象的一系列构造函数.

对应结构:

/``/``OBJECT_TYPE``-``-``>TypeInfo:_OBJECT_TYPE_INITIALIZER``ntdll!_OBJECT_TYPE``  ``+``0x000` `TypeList           : _LIST_ENTRY``  ``+``0x010` `Name             : _UNICODE_STRING``  ``+``0x020` `DefaultObject        : Ptr64 Void``  ``+``0x028` `Index            : UChar``  ``+``0x02c` `TotalNumberOfObjects     : Uint4B``  ``+``0x030` `TotalNumberOfHandles     : Uint4B``  ``+``0x034` `HighWaterNumberOfObjects   : Uint4B``  ``+``0x038` `HighWaterNumberOfHandles   : Uint4B``  ``+``0x040` `TypeInfo           : _OBJECT_TYPE_INITIALIZER ``/``/``1.``这个``  ``+``0x0b0` `TypeLock           : _EX_PUSH_LOCK``  ``+``0x0b8` `Key             : Uint4B``  ``+``0x0c0` `CallbackList         : _LIST_ENTRY` `ntdll!_OBJECT_TYPE_INITIALIZER``  ``+``0x000` `Length            : Uint2B``  ``+``0x002` `ObjectTypeFlags       : UChar``  ``+``0x002` `CaseInsensitive       : Pos ``0``, ``1` `Bit``  ``+``0x002` `UnnamedObjectsOnly     : Pos ``1``, ``1` `Bit``  ``+``0x002` `UseDefaultObject       : Pos ``2``, ``1` `Bit``  ``+``0x002` `SecurityRequired       : Pos ``3``, ``1` `Bit``  ``+``0x002` `MaintainHandleCount     : Pos ``4``, ``1` `Bit``  ``+``0x002` `MaintainTypeList       : Pos ``5``, ``1` `Bit``  ``+``0x002` `SupportsObjectCallbacks   : Pos ``6``, ``1` `Bit``  ``+``0x004` `ObjectTypeCode        : Uint4B``  ``+``0x008` `InvalidAttributes      : Uint4B``  ``+``0x00c` `GenericMapping        : _GENERIC_MAPPING``  ``+``0x01c` `ValidAccessMask       : Uint4B``  ``+``0x020` `RetainAccess         : Uint4B``  ``+``0x024` `PoolType           : _POOL_TYPE``  ``+``0x028` `DefaultPagedPoolCharge   : Uint4B``  ``+``0x02c` `DefaultNonPagedPoolCharge : Uint4B``  ``+``0x030` `DumpProcedure        : Ptr64   void``  ``+``0x038` `OpenProcedure        : Ptr64   ``long``/``/``打开 回调函数``  ``+``0x040` `CloseProcedure        : Ptr64   void``/``/``关闭 回到函数``  ``+``0x048` `DeleteProcedure       : Ptr64   void``  ``+``0x050` `ParseProcedure        : Ptr64   ``long``  ``+``0x058` `SecurityProcedure     : Ptr64   ``long``  ``+``0x060` `QueryNameProcedure     : Ptr64   ``long` `/``/``查询名称 回调函数``  ``+``0x068` `OkayToCloseProcedure     : Ptr64   unsigned char

3.Hook

根据找到的位置替换里面回调函数指针为我们自己写的函数即可.比如替换OpenProcedure.