Riv*_*asa 2 c assembly hook winapi trampolines
因此,我一直在学习挂钩和使用蹦床的概念,以便绕过/执行 WinAPI 挂钩函数中的数据(在不同的可执行文件中,使用 DLL 注入)。到目前为止,我知道如何使用汇编和 C 的混合来制作它(蹦床和钩子),但我似乎无法仅使用 C 来做到这一点,因为我似乎遗漏了一些东西。如果有人能告诉我我做错了什么以及如何解决它,我将不胜感激。
现在我的代码:
#include <Windows.h>
unsigned char* address = 0;
__declspec(naked) int __stdcall MessageBoxAHookTrampoline(HWND Window, char* Message, char* Title, int Type) {
__asm
{
push ebp
mov ebp, esp
mov eax, address
add eax, 5
jmp eax
}
}
int __stdcall MessageBoxAHook(HWND Window, char* Message, char* Title, int Type) {
wchar_t* WMessage = L"Hooked!";
wchar_t* WTitle = L"Success!";
MessageBoxW(0, WMessage, WTitle, 0);
return MessageBoxAHookTrampoline(Window, Message, Title, Type);
}
unsigned long __stdcall Thread(void* Context) {
address = (unsigned char*)GetProcAddress(LoadLibraryA("user32"), "MessageBoxA");
ULONG OP = 0;
if (VirtualProtect(address, 1, PAGE_EXECUTE_READWRITE, &OP)) {
memset(address, 0x90, 5);
*address = 0xE9;
*(unsigned long*)(address + 1) = (unsigned long)MessageBoxAHook - (unsigned long)address - 5;
}
else {
MessageBoxA(0, "Failed to change protection", "RIP", 0);
}
return 1;
}
// Entry point.
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
CreateThread(0, 0, Thread, 0, 0, 0);
}
else if (fdwReason == DLL_PROCESS_DETACH) {
}
return true;
}
所以问题是:我如何创建一个函数
InstallHook来安装钩子并返回一个蹦床,以便我可以轻松使用它?函数原型可能是:void* InstallHook(void* originalFunc, void* targetFunc, int jumpsize),或者我已经理解在线阅读,但不确定它的jumpsize用途。
到目前为止,我知道必须保留并恢复前 5 个字节,然后跳转到原始挂钩函数的地址。所以我必须使用 malloc 来分配内存,memcpy 来复制字节,这0xE9是跳转指令的值等等,但我只是不知道如何仅使用纯 C 来实现它。我想它会是类似于这个问题中的代码。那么如何使用纯 C 语言为 WinAPI 函数编写一个返回蹦床的钩子函数呢?
如果我正确理解了这个问题,您希望避免在汇编中对蹦床函数进行“硬编码”,大概这样您就可以同时使用多个蹦床而无需重复代码。您可以使用VirtualAlloc(malloc不会工作,因为返回的内存不可执行)来实现此目的。
我是凭记忆写的,没有访问编译器,所以它可能有一些小错误,但总体思路就在这里。通常,您还可以使用VirtualProtect更改页面权限,r-x而不是rwx在完成修改后进行更改,但为了简单起见,我将其省略:
void *CreateTrampoline(void *originalFunc)
{
/* Allocate the trampoline function */
uint8_t *trampoline = VirtualAlloc(
NULL,
5 + 5, /* 5 for the prologue, 5 for the JMP */
MEM_COMMIT | MEM_RESERVE,
PAGE_EXECUTE_READWRITE); /* Make trampoline executable */
/* Copy the original function's prologue */
memcpy(trampoline, originalFunc, 5);
/* JMP rel/32 opcode */
trampoline[5] = 0xE9;
/* JMP rel/32 operand */
uint32_t jmpDest = (uint32_t)originalFunc + 5; /* Skip original prologue */
uint32_t jmpSrc = (uint32_t)trampoline + 10; /* Starting after the JMP */
uint32_t delta = jmpDest - jmpSrc;
memcpy(trampoline + 6, &delta, 4);
return trampoline;
}
然后,您的InstallHook函数将调用CreateTrampoline创建一个蹦床,然后用 a 修补原始函数的前 5 个字节JMP rel/32到您的钩子。
请注意,这只适用于 WinAPI 函数,因为 Microsoft 要求它们有一个 5 字节序言才能启用热修补(这就是您在这里所做的)。普通函数没有这个要求——通常它们只push ebp; mov ebp, esp以 3 个字节开头(有时甚至不是这个,如果编译器决定优化它)。
编辑:这是数学的工作原理:
_______________delta______________
| |
trampoline | originalFunc |
| | | |
v | v v
[prologue][jmp delta] [prologue][rest of func]
|________||_________| |________|
5 + 5 5
| 归档时间: |
|
| 查看次数: |
3623 次 |
| 最近记录: |