APIHook一直是使大家感興趣的話題。屏幕取詞,內碼轉化,屏幕翻譯,中文平台等等都涉及到了此項技術。有很多文章涉及到了這項技術,但都閃爍其詞不肯明明白白的公布。我僅在這裡公布以下我用Delphi制作APIHook的一些心得。
通常的APIHOOK有這樣幾種方法:
1、自己寫一個動態鏈接庫,裡面定義自己寫的想取代系統的API。把這個動態鏈接庫映射到2G以上的系統動態鏈接庫所在空間,把系統動態鏈接庫中的該API的指向修改指向自己的函數。這種方法的好處就是可以取代系統中運行全部程序的該API。但他有個局限,就是只適用於Win9x。(原因是NT中動態鏈接庫不是共享的,每個進程都有自己的一份動態鏈接庫在內存中的映射)
2、自己寫一個動態鏈接庫,裡面定義自己寫得象替代系統的API。把這個動態鏈接庫映射到進程的空間裡。將該進程對API的調用指向自己寫的動態鏈接庫。這種方法的好處是可以選擇性的替代哪個進程的API。而且適用於所有的Windows操作系統。
這裡我選用的是第二種方法。
第二種方法需要先了解一點PE文件格式的知識。
首先是一個實模式的的DOS文件頭,是為了保持和DOS的兼容。
接著是一個DOS的代理模塊。你在純DOS先運行Win32的可執行文件,看看是不是也執行了,只是顯示的的是一行信息大意是說該Windows程序不能在DOS實模式下運行。
然後才是真正意義上的Windows可執行文件的文件頭。它的具體位置不是每次都固定的。是由文件偏移$3C決定的。我們要用到的就是它。
如果我們在程序中調用了一個MessageBoxA函數那麼它的實現過程是這樣的。他先調用在本進程中的MessageBoxA函數然後才跳到動態鏈接庫的MessageBoxA的入口點。即:
call messageBoxA(0040106c)
jmp dword ptr [_jmp_MessageBoxA@16(00425294)]
其中00425294的內容存儲的就是就是MessageBoxA函數的入口地址。如果我們做一下手腳,那麼......
那就開始吧!
我們需要定義兩個結構
type
PImage_Import_Entry = ^Image_Import_Entry;
Image_Import_Entry = record
Characteristics: DWORD;
TimeDateStamp: DWORD;
MajorVersion: Word;
MinorVersion: Word;
Name: DWORD;
LookupTable: DWORD;
end;
type
TImportCode = packed record
JumpInstruction: Word; file: //定義跳轉指令jmp
AddressOfPointerToFunction: ^Pointer; file: //定義要跳轉到的函數
end;
PImportCode = ^TImportCode;
然後是確定函數的地址。
function LocateFunctionAddress(Code: Pointer): Pointer;
var
func: PImportCode;
begin
Result := Code;
if Code = nil then exit;
try
func := code;
if (func.JumpInstruction = $25FF) then
begin
Result := func.AddressOfPointerToFunction^;
end;
except
Result := nil;
end;
end;
參數Code是函數在進程中的指針,即那條Jmp XXX的指令。$25FF就是跳轉指令的機器碼。
再下一篇我會講如何替換下那個XXX的內容,讓他跳到你想去的地方。
