编程论坛 → C++教室

通过覆盖系统函数的地址来实现HOOK API 中的MessageBoxProxy函数哪里被使用了？

vfdff 发布于 2010-08-08 15:08， 1469 次点击

程序代码：

//
//write by Gxter
//
//通过覆盖系统函数的地址来实现HOOK API
//
#include "stdio.h"
#include "windows.h"
#include "tchar.h"

// "崩溃函数绝对地址"指00401020
BYTE addr_old[8] = {0};
BYTE addr_new[8] = { 0xB8, 0x20, 0x10, 0x40, 0x00, 0xFF, 0xE0, 0x00 }; //第2，3，4，5是需要手工调整的（重要的步骤）
DWORD pfnMsgBox=0; //API函数地址

int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType)
{
    int ret = 0;

    DWORD dwOldProtect;
    MEMORY_BASIC_INFORMATION   mbi;


    printf("%08x\n", MessageBoxProxy);

    ::VirtualQuery((void *)pfnMsgBox, &mbi, sizeof(mbi));
    ::VirtualProtect((void *)pfnMsgBox, 8, PAGE_READWRITE, &dwOldProtect);


    // 写入原来的执行代码, 恢复
    ::WriteProcessMemory(::GetCurrentProcess(),
        (void *)pfnMsgBox,
        addr_old,
        sizeof(DWORD)*2,
        NULL);


    ::VirtualProtect((void *)pfnMsgBox, 8, mbi.Protect, 0);


    ret=MessageBox(hWnd,"gxter","gxter",uType);


    return ret;
}

//----------------------------------------------程序入口
int main()
{
    DWORD dwOldProtect;
    MEMORY_BASIC_INFORMATION   mbi;


    MessageBox(NULL,_T("Hook Demo!"),_T("API Hook"),MB_ICONINFORMATION);
    pfnMsgBox=(DWORD)GetProcAddress(GetModuleHandle(_T("user32.dll")),_T("MessageBoxA"));
    printf("api 入口地址: %x\n",pfnMsgBox);




    VirtualQuery( (void *)pfnMsgBox, &mbi, sizeof(mbi) );
    //修改我们要改的地址的页属性，为可读可写
    VirtualProtect( (void *)pfnMsgBox, 8, PAGE_READWRITE, &dwOldProtect);


    // 保存原来的执行代码
    memcpy(addr_old, (void *)pfnMsgBox, 8);


    // 写入新的执行代码
    WriteProcessMemory( GetCurrentProcess(),
        (void *)pfnMsgBox,
        addr_new,
        sizeof(DWORD)*2,
        NULL);
    //修改为原来的属性属性
    VirtualProtect((void *)pfnMsgBox, 8, mbi.Protect, 0);


    //当调用这个函数的时候就跳到我的函数上面了
    MessageBox(NULL,_T("Hook Demo!"),_T("API Hook"),MB_ICONINFORMATION);




    getchar();
    return 0;
}

上面的代码好像没有使用函数 MessageBoxProxy ，但是把这个函数去掉，又程序运行错误，不知道为什么？

9 回复

#2

yxwsbobo2010-08-08 15:40

0xB8, 0x20, 0x10, 0x40, 0x00, 0xFF, 0xE0, 0x00

相当于

mov eax,401020
jmp eax

意思是跳到 401020处执行,貌似是要调转到自己的MessageBox执行,此写法是有问题的, 函数地址都是变的,将函数硬编码出来肯定要处问题的

另外不需要修改内存页属性,所以
    DWORD dwOldProtect;
    MEMORY_BASIC_INFORMATION   mbi;

    ::VirtualQuery((void *)pfnMsgBox, &mbi, sizeof(mbi));
    ::VirtualProtect((void *)pfnMsgBox, 8, PAGE_READWRITE, &dwOldProtect);

之类的都可以删掉

#3

东海一鱼2010-08-08 17:08

回复楼主 vfdff

作者用了手工编码的方式将MessageBoxProxy的地址放入eax寄存器，并形成相对跳转代码。8个字节只是为了便于操作。每次改变编译方式或更换编译器，都要手工计算这个加载点，这个方法应该是比较笨拙的（希望作者不要介意啊）。

#4

vfdff2010-08-08 17:27

回复 3楼东海一鱼

我把函数MessageBoxProxy的名字改成别的好像程序也是好的，这个硬编码地址很奇怪呀，怎么就能刚刚制定到这个函数地址？

但是随便在源代码中增加新的一个函数，这个程序就挂了！

只有本站会员才能查看附件，请登录

另外，我在MessageBoxProxy函数中把该函数的入口地址打印出来，也不是这个 00401020 呀？！

[ 本帖最后由 vfdff 于 2010-8-8 17:39 编辑 ]

#5

东海一鱼2010-08-08 18:03

以下是引用vfdff在2010-8-8 17:27:38的发言：

我把函数MessageBoxProxy的名字改成别的好像程序也是好的，这个硬编码地址很奇怪呀，怎么就能刚刚制定到这个函数地址？

但是随便在源代码中增加新的一个函数，这个程序就挂了！

另外，我在MessageBoxProxy函数中把该函数的入口地址打印出来，也不是这个 00401020 呀？！

   这个硬编码地址很奇怪呀，怎么就能刚刚制定到这个函数地址？

   它可以自己调试打印出来啊。

   但是随便在源代码中增加新的一个函数，这个程序就挂了！

   加入新代码，影响代码生成的布局啊。硬编码无效了，所以要重新计算（观察）。

   另外，我在MessageBoxProxy函数中把该函数的入口地址打印出来，也不是这个 00401020 呀？！

   你打印的是API MessageBox的地址。



[ 本帖最后由东海一鱼于 2010-8-8 18:04 编辑 ]

#6

vfdff2010-08-08 20:12

回复 5楼东海一鱼

很明显 API messageBox 入口地址 77d507ea 和我打印的地址0040100a不一致的！
单步调试时显示的却真是 00401020 ，怎么和我printf显示的值不一致呢？

只有本站会员才能查看附件，请登录

[ 本帖最后由 vfdff 于 2010-8-8 20:16 编辑 ]

#7

东海一鱼2010-08-09 11:14

以下是引用vfdff在2010-8-8 20:12:17的发言：

很明显 API messageBox 入口地址 77d507ea 和我打印的地址0040100a不一致的！
单步调试时显示的却真是 00401020 ，怎么和我printf显示的值不一致呢？

不好意思，图太小，只看到上面的API地址了。
你可以试试把上面的00401020改成0040100a，照样OK。
但是你如果改成Release编译的话，0040100a这个地址就‘挂了’。
原因是：Debug版的每个内部函数还有一个类似于IAT的ILT表。这个0040100a就是指向ILT中的函数地址。

#8

vfdff2010-08-09 22:51

成Release编译的话，00401020也挂了,需要改成00401000 ！

[ 本帖最后由 vfdff 于 2010-8-9 22:54 编辑 ]

#9

东海一鱼2010-08-11 17:55

哈，那你何妨给它改成自动获取地址的试试。

#10

vfdff2010-08-11 23:07

是的，只顾问问题，差点把本质的问题给弄丢了
结果大家的指点与自己的实际测试，我知道这个地址并没有什么特别的地方，只是凑上去的而已

1