本文来自于《逆向工程核心原理》学习实践。
计算机的计算器是我们常用的一个小工具(小时候,总是计算机计算器分不开来,哈哈)。
众所周知,计算器在计算的过程中,显示的都是阿拉伯数字,因为阿拉伯数字是一个全世界通用的表示方法,那么如何让计算器显示中文数字"一、二、三…"呢?
这里我们就可以使用Dll注入去hook关键API实现计算器显示中文数字。
什么是Dll注入Hook IAT?
通过注入Dll文件来钩取某个API,Dll文件注入目标进程后,修改IAT来更改进程中调用的特定的API的功能。
实现原理
实现原理,主要是IAT Hook。
IAT中保存着程序中调用函数API的地址,所以我们只要将IAT中的地址改成自己函数的地址,就可以实现IAT Hook。
计算器正常执行,会调用SetWindowsTextW(),可以看到调用流程是从IAT中调用地址。
hook后:
这里是将CALL DWORD PTR[01001110]中,01001110地址保存的API地址换成了我们自己函数的地址10001000。
实现流程
1.找到目标API
2.编写DLL
2.1 获得原目标API的地址并保存。
2.2 实现自己的函数,并保存地址。
2.3 找到IAT的地址,并找到API在其中的未知
2.4 使用VirtualProtect将内存修改为可读写。
2.5 修改IAT中的目标API的地址,替换为自己函数的地址
2.6 恢复元内存属性。
3.注入dll
4.卸载dll
实战演练
具体代码实现参考源码示例。
这里传参的方式,是通过命令行传参。
int _tmain(int argc, TCHAR* argv[])
{
if (argc != 4)
{
usage();
return 1;
}
// adjust privilege
_EnableNTPrivilege(SE_DEBUG_NAME, SE_PRIVILEGE_ENABLED);
// InjectDll.exe <i|e> <PID> <dll_path>
if (!_tcsicmp(argv[1], L"i")) //输入 i 注入dll。输入 e 卸载dll
{
InjectDll((DWORD)_tstoi(argv[2]), argv[3]);
}
else if (!_tcsicmp(argv[1], L"e"))
{
EjectDll((DWORD)_tstoi(argv[2]), argv[3]);
}
return 0;
}
dll注入
此时,计算器中已经显示中文数字。
卸载dll
计算器显示重新变回阿拉伯数字
优缺点
优点:
工作原理和具体实现都比较简单
缺点:
如果想钩取的API不在目标进程的IAT中,那么就无法使用该技术进行Hook。(也就是,如果API是由程序动态加载DLL文件而调用的,就无法使用该项技术)
代码示例
cpp文件
#include "stdio.h"
#include "windows.h"
#include "tlhelp32.h"
#include "winbase.h"
#include "tchar.h"
#include<iostream>
using namespace std;
void usage()
{
printf("\nInjectDll.exe by ReverseCore\n"
"- USAGE : InjectDll.exe <i|e> <PID> <dll_path>\n\n");
}
BOOL InjectDll(DWORD dwPID, LPCTSTR szDllName)
{
HANDLE hProcess, hThread;
LPVOID pRemoteBufferData; //远程进程中的内存
DWORD dwBufSize = (DWORD)(_tcslen(szDllName) + 1) * sizeof(TCHAR);
LPTHREAD_START_ROUTINE pThreadProc;
if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
{
DWORD dwErr = GetLastError();
return FALSE;
}
//申请内存 可读可写
pRemoteBufferData = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);
//像内存写入dll路径
WriteProcessMemory(hProcess, pRemoteBufferData, (LPVOID)szDllName, dwBufSize, NULL);
//获得loadlibraryw地址
pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryW");
//创建远程线程
hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBufferData, 0, NULL);
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hThread);
CloseHandle(hProcess);
return TRUE;
}
BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName)
{
BOOL bMore = FALSE, bFound = FALSE;
HANDLE hSnapshot, hProcess, hThread;
MODULEENTRY32 me = { sizeof(me) };
LPTHREAD_START_ROUTINE pThreadProc;
if (INVALID_HANDLE_VALUE == (hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID)))
{
return FALSE;
}
bMore = Module32First(hSnapshot, &me);
for (; bMore; bMore = Module32Next(hSnapshot, &me))
{
if (!_tcsicmp(me.szModule, szDllName) || !_tcsicmp(me.szExePath, szDllName))
{
bFound = TRUE;
break;
}
}
if (!bFound)
{
CloseHandle(hSnapshot);
return FALSE;
}
if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
{
CloseHandle(hSnapshot);
return FALSE;
}
pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(L"kernel32.dll"), "FreeLibrary");
hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, me.modBaseAddr, 0, NULL);
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hThread);
CloseHandle(hProcess);
CloseHandle(hSnapshot);
return TRUE;
}
DWORD _EnableNTPrivilege(LPCTSTR szPrivilege, DWORD dwState)
{
DWORD dwRtn = 0;
HANDLE hToken;
if (OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
{
LUID luid;
if (LookupPrivilegeValue(NULL, szPrivilege, &luid))
{
BYTE t1[sizeof(TOKEN_PRIVILEGES) + sizeof(LUID_AND_ATTRIBUTES)];
BYTE t2[sizeof(TOKEN_PRIVILEGES) + sizeof(LUID_AND_ATTRIBUTES)];
DWORD cbTP = sizeof(TOKEN_PRIVILEGES) + sizeof(LUID_AND_ATTRIBUTES);
PTOKEN_PRIVILEGES pTP = (PTOKEN_PRIVILEGES)t1;
PTOKEN_PRIVILEGES pPrevTP = (PTOKEN_PRIVILEGES)t2;
pTP->PrivilegeCount = 1;
pTP->Privileges[0].Luid = luid;
pTP->Privileges[0].Attributes = dwState;
if (AdjustTokenPrivileges(hToken, FALSE, pTP, cbTP, pPrevTP, &cbTP))
dwRtn = pPrevTP->Privileges[0].Attributes;
}
CloseHandle(hToken);
}
return dwRtn;
}
int _tmain(int argc, TCHAR* argv[])
{
if (argc != 4)
{
usage();
return 1;
}
// adjust privilege
_EnableNTPrivilege(SE_DEBUG_NAME, SE_PRIVILEGE_ENABLED);
// InjectDll.exe <i|e> <PID> <dll_path>
if (!_tcsicmp(argv[1], L"i"))
{
InjectDll((DWORD)_tstoi(argv[2]), argv[3]);
}
else if (!_tcsicmp(argv[1], L"e"))
{
EjectDll((DWORD)_tstoi(argv[2]), argv[3]);
}
return 0;
}
dll:
// include
#include "stdio.h"
#include "wchar.h"
#include "windows.h"
// typedef
typedef BOOL(WINAPI *PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString); //SetWindowsTextW()的地址
// 原函数地址
FARPROC g_pOrginalFunction = NULL;
BOOL WINAPI MySetWindowTextW(HWND hWnd, LPWSTR lpString)
{
wchar_t* pNum = L"零一二三四五六七八九";
wchar_t temp[2] = { 0, };
int i = 0, nLen = 0, nIndex = 0;
nLen = wcslen(lpString);
for (i = 0; i < nLen; i++)
{
// 将阿拉伯数字转换为中文数字
// lpString是宽字符版本(2个字节)字符串
if (L'0' <= lpString[i] && lpString[i] <= L'9')
{
temp[0] = lpString[i];
nIndex = _wtoi(temp);
lpString[i] = pNum[nIndex];
}
}
// 调用原函数;user32.SetWindowTextW
// (修改lpString缓冲区中的内容)
return ((PFSETWINDOWTEXTW)g_pOrginalFunction)(hWnd, lpString);
}
/**********************************/
// 函数名:hook_iat
// 功能 :负责实施IAT钩取的核心函数
/**********************************/
BOOL hook_iat(LPCSTR szDllName, PROC pfnOrg, PROC pfnNew)
{
HMODULE hMod;
LPCSTR szLibName;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
PIMAGE_THUNK_DATA pThunk;
DWORD dwOldProtect, dwRVA;
PBYTE pAddr;
// hMod, pAddr = ImageBase of calc.exe
// = VA to MZ signature (IMAGE_DOS_HEADER)
hMod = GetModuleHandle(NULL);
pAddr = (PBYTE)hMod;
// pAddr = VA to PE signature (IMAGE_NT_HEADERS)
pAddr += *((DWORD*)&pAddr[0x3C]);
// dwRVA = RVA to IMAGE_IMPORT_DESCRIPTOR Table
dwRVA = *((DWORD*)&pAddr[0x80]);
// pImportDesc = VA to IMAGE_IMPORT_DESCRIPTOR Table
pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hMod + dwRVA);
for (; pImportDesc->Name; pImportDesc++)
{
// szLibName = VA to IMAGE_IMPORT_DESCRIPTOR.Name
szLibName = (LPCSTR)((DWORD)hMod + pImportDesc->Name);
if (!_stricmp(szLibName, szDllName))
{
// pThunk = IMAGE_IMPORT_DESCRIPTOR.FirstThunk
// = VA to IAT(Import Address Table)
pThunk = (PIMAGE_THUNK_DATA)((DWORD)hMod +
pImportDesc->FirstThunk);
// pThunk->u1.Function = VA to API 匹配成功
for (; pThunk->u1.Function; pThunk++)
{
if (pThunk->u1.Function == (DWORD)pfnOrg)
{
// 更改为可读写模式
VirtualProtect((LPVOID)&pThunk->u1.Function,
4,
PAGE_EXECUTE_READWRITE,
&dwOldProtect);
// 修改IAT的值
pThunk->u1.Function = (DWORD)pfnNew;
//修改完成后,恢复原保护属性
VirtualProtect((LPVOID)&pThunk->u1.Function,
4,
dwOldProtect,
&dwOldProtect);
return TRUE;
}
}
}
}
return FALSE;
}
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
switch (fdwReason)
{
case DLL_PROCESS_ATTACH:
// 保存原始API的地址
g_pOrginalFunction = GetProcAddress(GetModuleHandle(L"user32.dll"),
"SetWindowTextW");
// # hook
// 用hookiat.MySetWindowText钩取user32.SetWindowTextW
hook_iat("user32.dll", g_pOrginalFunction, (PROC)MySetWindowTextW);
break;
case DLL_PROCESS_DETACH:
// # unhook
// 将calc.exe的IAT恢复原值
hook_iat("user32.dll", (PROC)MySetWindowTextW, g_pOrginalFunction);
break;
}
return TRUE;
}
后记:
本文写的匆忙,只探讨了32位的一种情况,也没有进行详尽的分析,之后会进行补充。
参考资料:
《逆向工程核心原理》
https://blog.csdn.net/liujiayu2/article/details/72956644