HooK原理简析

最新推荐文章于 2025-07-05 17:09:10 发布
原创 最新推荐文章于 2025-07-05 17:09:10 发布 · 4.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Hook #Detours

通过反汇编代码的跟进,了解Hook的工作原理(使用Detours库实现Hook)

示例代码

#include "stdafx.h"
#include <windows.h>
#include <detours.h>
#pragma  comment(lib,"detours.lib")

//1.拿到需要Hook的地址 操作系统里面MessageboxA里面的地址
static int (WINAPI* OldMessageBoxA)( HWND, LPCSTR, LPCSTR, UINT) = MessageBoxA;

//2.需要跳至的地方
int WINAPI NewMessageBoxA( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
	if (strcmp(lpText, "This is zy") != 0)
	{
		return OldMessageBoxA(hWnd, "You are ugly!", "Sorry", MB_OK);
	}
	return OldMessageBoxA(hWnd, "This is zy", "Everyone", MB_OK);
}

//3.开始进行Hook地址
bool Hook() 
{
	// 相关的初始化信息
	DetourTransactionBegin();
	// 更新线程信息
	DetourUpdateThread(GetCurrentThread());
	// 挂载我们的hook函数(NeeMessagwBoxA)到MessageBoxA函数的地址上
	DetourAttach(&(PVOID&)OldMessageBoxA, NewMessageBoxA);
	return NO_ERROR == DetourTransactionCommit();
}

// 卸载Hook
bool UnHook()
{
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());
	DetourDetach(&(PVOID&)OldMessageBoxA, NewMessageBoxA);
	return NO_ERROR == DetourTransactionCommit();
}

int WINAPI WinMain( _In_ HINSTANCE hInstance, _In_opt_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmdLine, _In_ int nShowCmd )
{
	//跨进程改不了
	//因为我们当前的这个Hook就是我们本进程
	//如果想跨进程,在Dll中Hook,然后注入 全局Hook
	//Hook在哪个地方 
	//检测Hook CRC、
	//Hook后如何让保证系统的稳定,这个做的Hook实在R3层,R0也能Hook
	MessageBoxA(NULL, "This is Hook", "Hook", MB_OK);
	Hook();
	MessageBoxA(NULL, "This is Hook", "Hook", MB_OK);
	UnHook();
	MessageBoxA(NULL, "This is Hook", "Hook", MB_OK);

//  加载Hook的Dll文件
// 	HMODULE hModule = LoadLibraryA("HooKDll.dll");
// 	if (hModule == NULL)
// 	{
// 		printf("LoadLibraryA faild!\n");
// 	}
// 	MessageBoxA(NULL, "This is Hook", "Hook", MB_OK);
// 	FreeLibrary(hModule);
    return 0;
}

运行结果:
这里写图片描述

反汇编解析

接下来我们进入到反汇编格式查看下实现
第一句MessageBoxA(NULL, “This is Hook”, “Hook”, MB_OK);

// 压栈数据,调用MessageBoxA该API
0124280E  mov         esi,esp  
01242810  push        0  
01242812  push        offset string "Hook" (0124AC64h)  
01242817  push        offset string "This is Hook" (0124BD88h)  
0124281C  push        0  
0124281E  call        dword ptr [__imp__MessageBoxA@16 (0124F0C8h)] 

// 查看MessageBox函数的首地址
76EEFDAE  mov         edi,edi  
76EEFDB0  push        ebp  
76EEFDB1  mov         ebp,esp  
76EEFDB3  push        0  
76EEFDB5  push        dword ptr [ebp+14h]  
76EEFDB8  push        dword ptr [ebp+10h]  
76EEFDBB  push        dword ptr [ebp+0Ch]  
76EEFDBE  push        dword ptr [ebp+8]  
76EEFDC1  call        76EEFD66  
76EEFDC6  pop         ebp  
76EEFDC7  ret         10h

具体指令的作用就不一一解释了,这不是重点。
可以看到MessageBox的函数首地址为76EEFDAE,该处的汇编指令为
mov edi,edi->不难看出,该指令的作用就是没有作用!只是为了方面扩展

经过Hook后
第二句MessageBoxA(NULL, “This is Hook”, “Hook”, MB_OK);

// 1、压栈数据,调用MessageBoxA该API
01242830  mov         esi,esp  
01242832  push        0  
01242834  push        offset string "Hook" (0124AC64h)  
01242839  push        offset string "This is Hook" (0124BD88h)  
0124283E  push        0  
01242840  call        dword ptr [__imp__MessageBoxA@16 (0124F0C8h)]  

// 2、跟进查看MessageBox函数的首地址,此处原本应该是 mov edi,edi
76EEFDAE  jmp         NewMessageBoxA (01241424h)  
76EEFDB3  push        0  
76EEFDB5  push        dword ptr [ebp+14h]  
76EEFDB8  push        dword ptr [ebp+10h]  
76EEFDBB  push        dword ptr [ebp+0Ch]  
76EEFDBE  push        dword ptr [ebp+8]  
76EEFDC1  call        76EEFD66  
76EEFDC6  pop         ebp  
76EEFDC7  ret         10h  

// 3、在01241424h地址处,进行跳转到012426C0h(我们真正的函数首地址)
01241424h  jmp         NewMwssageBoxA (012426C0h) 
int WINAPI NewMwssageBoxA( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
012426C0  push        ebp  
012426C1  mov         ebp,esp  
012426C3  sub         esp,0C0h  
012426C9  push        ebx  
012426CA  push        esi  
012426CB  push        edi  
012426CC  lea         edi,[ebp-0C0h]  
012426D2  mov         ecx,30h  
012426D7  mov         eax,0CCCCCCCCh  
012426DC  rep stos    dword ptr es:[edi]  
	if (strcmp(lpText, "This is zy") != 0)
012426DE  push        offset string "This is zy" (0124AC30h)  
012426E3  mov         eax,dword ptr [lpText]  
012426E6  push        eax  
012426E7  call        _strcmp (01241136h)  
012426EC  add         esp,8  
012426EF  test        eax,eax  
012426F1  je          NewMwssageBoxA+54h (01242714h)  
	{
		return OldMwssageBoxA(hWnd, "You are ugly!", "Sorry", MB_OK);
		
//进行数据的压栈
012426F3  mov         esi,esp  
012426F5  push        0  
012426F7  push        offset string "Sorry" (0124AC40h)  
012426FC  push        offset string "You are ugly!" (0124AC48h)  
01242701  mov         eax,dword ptr [hWnd]  
01242704  push        eax  

// 我们的程序将从此处跳转
01242705  call        dword ptr [OldMwssageBoxA (0124E2D0h)] 

// 进行 RTC 运行时检错
0124270B  cmp         esi,esp  
0124270D  call        __RTC_CheckEsp (012411AEh)  
01242712  jmp         NewMwssageBoxA+73h (01242733h)  
	}
	return OldMwssageBoxA(hWnd, "This is zy", "Everyone", MB_OK);
01242714  mov         esi,esp  
01242716  push        0  
01242718  push        offset string "Everyone" (0124AC58h)  
0124271D  push        offset string "This is zy" (0124AC30h)  
01242722  mov         eax,dword ptr [hWnd]  
01242725  push        eax  
01242726  call        dword ptr [OldMwssageBoxA (0124E2D0h)]  
0124272C  cmp         esi,esp  
0124272E  call        __RTC_CheckEsp (012411AEh)  
}
01242733  pop         edi  
01242734  pop         esi  
01242735  pop         ebx  
01242736  add         esp,0C0h  
0124273C  cmp         ebp,esp  
0124273E  call        __RTC_CheckEsp (012411AEh)  
01242743  mov         esp,ebp  
01242745  pop         ebp  
01242746  ret         10h

// 4、经过在NewMwssageBoxA中的跳转,进入到36ED00D8地址处
36ED00D8  mov         edi,edi  
36ED00DA  push        ebp  
36ED00DB  mov         ebp,esp  
36ED00DD  jmp         76EEFDB3 

// 5、很明显,此时我们又跳转回来了(此处和第二点是同一位置)
76EEFDB3  push        0  
76EEFDB5  push        dword ptr [ebp+14h]  
76EEFDB8  push        dword ptr [ebp+10h]  
76EEFDBB  push        dword ptr [ebp+0Ch]  
76EEFDBE  push        dword ptr [ebp+8]  
76EEFDC1  call        76EEFD66  
76EEFDC6  pop         ebp  
76EEFDC7  ret         10h

通过该汇编指令的理解,可以发现:经过Hook后,改变了原来的函数首地址的指令mov edi,edi,使得该地址先跳转到我们Hook后的地址上,先实现我们的函数,完成之后再跳转到原来的地址上执行(当然,你也可以不用再跳回到原来的地址中执行),这也是Hook的原理

注意的是,该Hook仅仅是在本进程进行的,而且是Hook的ring3层

经过UnHook后,将会将我们的地址改变为原来的mov edi,edi,和第三句
MessageBoxA(NULL, “This is Hook”, “Hook”, MB_OK);一样

// 压栈数据,调用MessageBoxA该API
01242852  mov         esi,esp  
01242854  push        0  
01242858  push        offset string "Hook" (0124AC64h)  
0124285D  push        offset string "This is Hook" (0124BD88h)  
01242863  push        0  
01242865  call        dword ptr [__imp__MessageBoxA@16 (0124F0C8h)] 

// 查看MessageBox函数的首地址
76EEFDAE  mov         edi,edi  
76EEFDB0  push        ebp  
76EEFDB1  mov         ebp,esp  
76EEFDB3  push        0  
76EEFDB5  push        dword ptr [ebp+14h]  
76EEFDB8  push        dword ptr [ebp+10h]  
76EEFDBB  push        dword ptr [ebp+0Ch]  
76EEFDBE  push        dword ptr [ebp+8]  
76EEFDC1  call        76EEFD66  
76EEFDC6  pop         ebp  
76EEFDC7  ret         10h

总结下(Hook前后的对比):
这里写图片描述

示例代码需要Detours库的支持,Detours下载地址
本文难免有所错误,如有问题欢迎留言

HOOK学习笔记与心得
码莎拉蒂
10-27 4560
一、  Hook介绍 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。  我们知道Windows系统API函数都是被封装到DLL中,在某个应用程序要调用一个API函数的时候,如果这个函数所在的D
深入解读 Android Hook 技术-从原理到实践
w风雨无阻w的专栏
05-30 6603
Hook技术,源自计算机编程中的“钩子”概念,是一种在程序执行过程中动态改变程序行为的技术,是一种允许用户或开发者拦截和处理系统事件或方法调用的技术。它通过在程序执行路径中插入自定义的代码片段,从而能够实现对程序行为的拦截和修改。动态修改: Hook 技术是在程序运行时进行修改,而不是在编译时。这使得它可以灵活地应用于各种场景,而不需要修改程序源码。透明性: 使用 Hook 技术进行修改是透明的,对于程序的其他部分来说是不可见的。这有利于保持程序的整体一致性和稳定性。可扩展性。
HOOK原理详解
10-26
对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是机器指令(听上去真是有点恐怖,不过这是事实)。 当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了一种比较稳健的机制来使得各个进程的内存地址空间之间是相互独立,也就是说一个进程中的某个有效的内存地址对另一个进程来说是无意义的,这种内存保护措施大大增加了系统的稳定性。不过,这也使得进行系统级的API拦截的工作的难度也大大加大了。 当然,我这里所指的是比较文雅的拦截方式,通过修改可执行文件在内存中的映像中有关代码,实现对API调用的动态拦截;而不是采用比较暴力的方式,直接对可执行文件的磁盘存储中机器代码进行改写。
关于hook的初步认识
最新发布
weixin_75269589的博客
07-05 776
文章摘要: Hook(钩子)是一种编程机制,用于拦截和修改函数调用、消息传递或事件传递,以扩展或改变程序行为。其原理是通过获取目标对象(如浏览器中的window对象或方法)并对其进行修改或注入脚本。
inline hook原理及实现
Qiu233的博客
08-06 8494
网上没有找到多少关于inline hook的文章,感觉这方面资料不是很完整,所以决定自己写一份存档,重点讲述inline hook的实现。 inline hook的核心思想是:通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域,执行完毕跳转回到原来的函数,跳转到的指令区域通常是我们自己编写的函数。inline hook技术对于编写外挂和外挂式补丁意义重大。 步骤: 1.使用Vir
vc++ HOOK 技术 (API钩子)
07-13
vc++ HOOK 技术 (API钩子)
Linux系统交换(swap)机制实现原理以及OOM测试
tugouxp的专栏
07-20 2600
综上,可以swap出去的页面包含匿名页和共享页,除此之外,不支持swap到磁盘交换分区或者swap文件。所以可以看出,对于内存回收来说,文件cache的回收和匿名页面的回收是同一个路径,没有区别,只有到具体的承载后台时候,这也是为何开始一致寻找swap处理的“特殊路径”求而不得的原因,原因就是这个特殊路径不存在,swap处理也没有什么特殊的,"特殊"的部分仅仅是swap_aops的实现,这部分一开始我就找到了。匿名页面是如何来的?
HookPluginProject2.zip
10-19
在Android开发中,插件...通过深入分析这个项目,开发者可以学习到Android系统的工作原理,以及如何在实际项目中实现动态加载和扩展功能。对于想要掌握Android插件化技术的开发者来说,这是一个非常有价值的参考资料。
性能优化专题十二--LeakCanary简析
王温暖的博客
06-26 743
LeakCanary实现内存泄漏的主要判断逻辑是这样的。当我们观察的Activity或者Fragment销毁时,我们会使用一个弱引用去包装当前销毁的Activity或者Fragment,并且将它与本地的一个ReferenceQueue队列关联。我们知道如果GC触发了,系统会将当前的引用对象存入队列中。如果没有被回收,队列中则没有当前的引用对象。
深入分析Android 9.0 Activity启动与插件化实现
4. Hook技术的实现原理和方法,包括在不同层面上(Java层、Native层)实现Hook。 5. 源码分析技能,用于深入理解和分析Android SDK以及系统底层的实现细节。 6. 插件化架构的设计和实现,包括如何管理插件的生命周期...
Requests库请求过程简析
weixin_41677555的博客
12-29 3357
目录 API接口和Session API接口 session 小结 请求流程介绍 Request对象 Request对象小结 prepare_request方法 cookie处理 cookie处理小结 身份验证  构造PreparedRequest对象 prepare_request方法小结 环境参数合并 请求发送  附源码结构梳理  Requests是pytho...
Linux系统下的HOOK
蛇矛实验室
04-10 994
Linux系统下的HOOK
Hook原理
lingshengxiyou的博客
12-22 1025
从上面我们可以看到,其实Hook都是一样的,只是对应的地方不同,寻找的方法不同,替换(修改)的方法不同而已.有的人可能就要反问了,SetWindowsHookEx,就不要知道Hook的地方在哪了,也不需要寻找.确实,这两歩不需要我们自己做,但并不代表不需要,这只是操作系统为我们做了而已,我们只需要提供一个回调函数即可.[原创]Hook原理-编程技术-看雪论坛-安全社区|安全招聘|bbs.pediy.com。
Hook 详细原理
奔流的江水
04-24 499
https://bbs.pediy.com/thread-228669.htm
hook原理介绍与简单实例
mijichui2153的博客
11-08 4932
一、HOOK介绍 1、什么是HOOK(钩子) HOOK技术即钩子函数,钩子函数是Windows消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息。 钩子的本质是一段用以处理系统消息的程序,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。 ...
【React源码】(十三) Hook 原理(概览)
weixin_44828588的博客
08-25 1350
本节首先引入了官方文档上对于Hook的解释, 了解Hook的由来, 以及Hook相较于class的优势. 然后从fiber视角分析了fiber与hook的内在关系, 通过函数, 把Hook链表挂载到了之上. 利用fiber树内部的双缓冲技术, 实现了Hook从current到转移, 进而实现了Hook状态的持久化.
Hook技术
jinking01的专栏
09-06 4104
linux上基于C和C++的hook尝试
JMP方式实现API hook技术原理解析
描述中提到的“JMP 方式进行API hook 的基本原理”则说明了本文将重点阐述在实施API hook时使用跳转指令(JMP)的方法。JMP是一种汇编语言中的指令,用于无条件跳转到另一个地址执行指令。在API hook中,JMP指令常被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值