inline hook 實際上就是指 通過改變目標函數(shù)頭部的代碼來使改變后的代碼跳轉(zhuǎn)到我們自己設(shè)置的一個函數(shù)里，產(chǎn)生hook。

今天就拿MessageBoxA這個api函數(shù)來做實驗。功能就是當程序調(diào)用MessageBoxA 時，我們打印出MessageBoxA的參數(shù)

?

大概代碼結(jié)構(gòu)應(yīng)該是這樣

typedef int (WINAPI*MessageBox_type) (__in_opt HWND hWnd,__in_opt LPCSTR lpText,__in_opt LPCSTR lpCaption,__in UINT uType) ;MessageBox_type RealMessageBox;//我們自己的MessageBox，每調(diào)用MessageBox都要跳到myMessageBox來處理 int WINAPImyMessageBox(__in_opt HWND hWnd,__in_opt LPCSTR lpText,__in_opt LPCSTR lpCaption,__in UINT uType) {//下面打印MessageBox參數(shù)printf("hwnd:%8X lpText:%s lpCaption:%s,uType:%8X",hWnd,lpText,lpCaption,uType); return RealMessageBox(hWnd,lpText,lpCaption,uType); //現(xiàn)在開始調(diào)用真正的MessageBox }VOID HookMessageBoxA() {}int _tmain(int argc, _TCHAR* argv[]) {HookMessageBoxA(); //hook操作::MessageBoxA(NULL,"hook test","tip",MB_OK); //執(zhí)行api MessageBoxreturn 0; }

我們先看看匯編是怎樣調(diào)用MessageBoxA的

?

首先看到，MessageBoxA里面

mov edi,edi?
mov ebp?
mov ebp,esp?
剛好是5個字節(jié)，5個字節(jié)可以做一個遠jmp

直接匯編改成我們自己的jmp

改后結(jié)果如下

單步執(zhí)行發(fā)現(xiàn)hook成功。但程序崩潰。原因主要是由于

我們破壞了真正的MessageBox使們想要調(diào)用真正的MessageBox時也會調(diào)用失敗了，所以我們要調(diào)用真正的MessageBox時要加上頭部被我們換掉的部分,我們要內(nèi)聯(lián)匯編，里面不能含有編譯器自動添加的代碼，所以在myMessageBox頭部要加上 _declspec(naked)

vs2010的debug版本每執(zhí)行一個函數(shù)都要 cmp esi,esp 來驗證堆棧的。所以還要加一句push esi 和pop esi

//我們自己的MessageBox，每調(diào)用MessageBox都要跳到myMessageBox來處理 _declspec(naked) void WINAPImyMessageBox(__in_opt HWND hWnd,__in_opt LPCSTR lpText,__in_opt LPCSTR lpCaption,__in UINT uType) {__asm{PUSH ebpmov ebp,esp/*vs2010 debug 編譯后的代碼由于要cmp esi esp來比較堆棧。所以這里在調(diào)用非__asm函數(shù)前push一下esi*/push esi}//下面打印MessageBox參數(shù)printf("hwnd:%8X lpText:%s lpCaption:%s,uType:%8X",hWnd,lpText,lpCaption,uType); __asm{/*vs2010 debug 編譯后的代碼由于要cmp esi esp來比較堆棧。所以這里在調(diào)用非__asm函數(shù)前push一下esi*/pop esimov ebx,RealMessageBoxadd ebx,5jmp ebx} }

下面說一下用代碼來寫MessageBoxA著呢5個字節(jié)

首先要懂得?JMP指令轉(zhuǎn)換公式推導(dǎo)? 不懂的話 看?http://www.cnblogs.com/zhangdongsheng/archive/2012/12/06/2804234.html

?

先聲明一個JMP結(jié)構(gòu)體。注意前面加 #pragma pack(1)來避免內(nèi)存對齊的一些規(guī)則

#pragma pack(1) typedef struct _JMPCODE {BYTE jmp;DWORD addr; }JMPCODE,*PJMPCODE;

接下來寫hook函數(shù)

VOID HookMessageBoxA() {JMPCODE jcode;jcode.jmp = 0xe9;//jmpjcode.addr = (DWORD)myMessageBox - (DWORD)RealMessageBox - 5; RealMessageBox = MessageBoxA;::WriteProcessMemory(GetCurrentProcess(),MessageBoxA,&jcode,sizeof(JMPCODE),NULL); }

現(xiàn)在測試成功。

?

完整源代碼如下：

// hook_blog_writer.cpp : 定義控制臺應(yīng)用程序的入口點。 // #include "stdafx.h" #include <windows.h> #include <stdio.h>typedef int (WINAPI*MessageBox_type) (__in_opt HWND hWnd,__in_opt LPCSTR lpText,__in_opt LPCSTR lpCaption,__in UINT uType) ;MessageBox_type RealMessageBox = MessageBoxA;//我們自己的MessageBox，每調(diào)用MessageBox都要跳到myMessageBox來處理 _declspec(naked) void WINAPImyMessageBox(__in_opt HWND hWnd,__in_opt LPCSTR lpText,__in_opt LPCSTR lpCaption,__in UINT uType) {__asm{PUSH ebpmov ebp,esp/*vs2010 debug 編譯后的代碼由于要cmp esi esp來比較堆棧。所以這里在調(diào)用非__asm函數(shù)前push一下esi*/push esi}//下面打印MessageBox參數(shù)printf("hwnd:%8X lpText:%s lpCaption:%s,uType:%8X",hWnd,lpText,lpCaption,uType); __asm{/*vs2010 debug 編譯后的代碼由于要cmp esi esp來比較堆棧。所以這里在調(diào)用非__asm函數(shù)前push一下esi*/pop esimov ebx,RealMessageBoxadd ebx,5jmp ebx} }#pragma pack(1) typedef struct _JMPCODE {BYTE jmp;DWORD addr; }JMPCODE,*PJMPCODE;VOID HookMessageBoxA() {JMPCODE jcode;jcode.jmp = 0xe9;//jmpjcode.addr = (DWORD)myMessageBox - (DWORD)RealMessageBox - 5; RealMessageBox = MessageBoxA;::WriteProcessMemory(GetCurrentProcess(),MessageBoxA,&jcode,sizeof(JMPCODE),NULL); }int _tmain(int argc, _TCHAR* argv[]) {HookMessageBoxA(); //hook操作::MessageBoxA(NULL,"hook test","tip",MB_OK); //執(zhí)行api MessageBoxreturn 0; }

?

?

出處：http://www.cnblogs.com/zhangdongsheng/ 作者：張東升 QQ:290387340 超強干貨來襲 云風(fēng)專訪：近40年碼齡，通宵達旦的技術(shù)人生

總結(jié)

以上是生活随笔為你收集整理的学习windows 应用层 inline hook 原理总结的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。