Windows_Hook_易核心编程_API_Hook_续_拦截API.doc

上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新. 这一期我们来谈谈 API HOOK API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外 挂,internet通信等领域API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例 如我们用API Hook技术挂接ExitWindowsEx API函数,使关机失效,挂接ZwOpenProcess函 数,隐藏进程等等 总的来说,常用的挂钩API方法有以下两种: 一改写IAT导入表法 我们知道,Windows下的可执行文档的文件格式是一种叫PE（“portable executable”，可移植 的可执行文件）的文件格式，这种文件格式 是由微软设计的,接下来这张图描述了PE文件的结构: ++ - offset 0 | MS DOS标志(MZ) 和 DOS块 | ++ | PE 标志 (PE) | ++ | .text | - 模块代码 | 程序代码 | | | ++ | .data | - 已初始化的(全局静态)数据 | 已初始化的数据 | | | ++ | .idata | - 导入函数的信息和数据 | 导入表 | | | ++ | .edata | - 导出函数的信息和数据 | 导出表 | | | ++ | 调试符号 | ++ 这里对我们比较重要的是.idata部分的导入地址表(IAT)。这个部分包含了导入的相关信息和导 入函数的地址。有一点很重要的是我们必须知道PE文件是如何创建的。当在编程语言里间接调用任 意API(这意味着我们是用函数的名字来调用它，而不是用它的地址)，编译器并不直接把调用连接到 模块，而是用jmp指令连接调用到IAT，IAT在系统把进程调入内存时时会由进程载入器填满。这就是 我们可以在两个不同版本的Windows里使用相同的二进制代码的原因，虽然模块可能会加载到不同的 地址。进程载入器会在程序代码里调用所使用的IAT里填入直接跳转的jmp指令。所以我们能在IAT里 找到我们想要挂钩的指定函数，我们就能很容易改变那里的jmp指令并重定向代码到我们的地址。完 成之后每次调用都会执行我们的代码了。 我们通过使用imagehlp.dll里的ImageDirectoryEntryToData来很容易地找到IAT。 .DLL命令 ImageDirectoryEntryToData, 整数型, imagehlp, , , 返回IMAGE_IMPORT_DESCRIPTOR数组的首地址 .参数 Base, 整数型, , 模块句柄 .参数 MappedAsImage, 逻辑型, , 真 .参数 DirectoryEntry, 整数型, , 恒量:IMAGE_DIRECTORY_ENTRY_IMPORT,1 .参数 Size, 整数型, 传址, IMAGE_IMPORT_DESCRIPTOR数组的大小 .数据类型 IMAGE_IMPORT_DESCRIPTOR, , 输入描述结构 .成员 OriginalFirstThunk, 整数型, , , 它是一个RVA（32位），指向一个以0结尾的、由IMAGE_THUNK_DATA（换长数据）的RVA构成的数组，其每个IMAGE_THUNK_DATA（换长数据）元素都描述一个函数。此数组永不改变。 .成员 TimeDateStamp, 整数型, , , 它是一个具有好