windows钩子编程大全二、API Hook的原理这里的API既包括传统的Win32 APIs

文件名称: windows钩子编程大全

所属分类: 专业指导

开发工具:

文件大小: 84kb

下载次数: 0

上传时间: 2008-10-26

提供者: yaoz****

下载 (84kb)

不能下载？报告错误

详细说明：二、API Hook的原理这里的API既包括传统的Win32 APIs，也包括任何Module输出的函数调用。熟悉PE文件格式的朋友都知道，PE文件将对外部Module输出函数的调用信息保存在输入表中，即.idata段。下面首先介绍本段的结构。输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL，可以由此计算出该数组的项数。例如，某个PE文件从两个DLL中引入函数，就存在两个IID结构来描述这些DLL文件，并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下： IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTO R ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息： IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名，以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA（相对于PE文件起始处）。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志，可以忽略。 ForwarderChain:正向链接索引，一般为0。当程序引用一个DLL中的API，而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址，如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针，它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA，但名称不同，分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字，在不同时刻有不同的含义，当双字最高位为1时，表示函数以序号输入，低位就是函数序号。当双字最高位为0时，表示函数以字符串类型的函数名方式输入，这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。三个结构关系如下图： IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- <--\ | OriginalFirstThunk |--/ |IMAGE_THUNK_DATA|-->|01| 函数1 |<--|IMAGE_THUNK_DATA| | |--------------------| |----------------| |----------| |----------------| | | TimeDateStamp | |IMAGE_THUNK_DATA|-->|02| 函数2 |<--|IMAGE_THUNK_DATA| | |--------------------| |----------------| |----------| |----------------| | | ForwarderChain | | ... |-->| n| ... |<--| ... | | |--------------------| ---------------- ---------- ---------------- | | Name |------>"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用，主要以这种形式出现： call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址，[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值，即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中，通过IID中的Name加载相应的DLL，然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息，在DLL中确定函数地址，然后将函数地址写到IAT中，此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的就是真正的API地址。从以上分析可以看出，要拦截API的调用，可以通过改写IAT来实现，将自己函数的地址写到IAT中，达到拦截目的。另外一种方法的原理更简单，也更直接。我们不是要拦截吗，先在内存中定位要拦截的API的地址，然后改写代码的前几个字节为 jmp xxxxxxxx，其中xxxxxxxx为我们的API的地址。这样对欲拦截API的调用实际上就跳转到了咱们的API调用去了，完成了拦截。不拦截时，再改写回来就是了。这都是自己从网上辛辛苦苦找来的，真的很好啊 ...展开收缩

(系统自动生成,下载前可以参看下载内容)