1. 项目背景
项目目的:注入到其他进程来改变其行为达到特殊的目的,例如:
- 修改函数的入参、返回值、出参
- 在调用函数前,后做一些特殊的处理
举个例子:物理机中,有些3D的播放软件会调用CreateDevicec来创建Device,其DeviceType参数传的都是D3DDEVTYPE_HAL来使用显卡硬件加速。但是有些没有显卡的物理机中,只能将参数修改为D3DDEVTYPE_REF,软件模拟的方式,这样CreateDevice才会调用成功,一些播放类的软件才可以正常运行。
2. 相关概念及技术
2.1 消息注入
Hook,是Windows消息处理机制的一个平台,应用程序可以在上面设置子程序以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。HOOK机制允许应用程序截获处理window消息或特定事件。
消息注入demo网上很多,调用Windows的API即可
2.2 EIP寄存器注入
这种的方法的原理很难解释清楚-----,具体步骤
- 获得线程句柄,同时也要获得进程的句柄
- 挂起线程
- 获得寄存器的值
- 修改EIP的值
- 申请远程内存
- 写入远程内存,把EIP也要写进去,这样远程执行完毕之后会切换回来继续执行
- 恢复线程
- 关闭线程句柄
修改EIP方式其实依赖于消息钩子注入,通过hook CreateProcess API方式实现的.
- 在hook函数中,修改CreateProcess的参数dwCreationFlags为或上CREATE_SUSPENDED标志,使其挂起。
- 通过修改其EIP指向远程分配的一块内存地址,在这块内存中我们通过构造一段代码,这段代码就是LoadLibrary(xxx.dll).
- 然后跳转到原来的eip处,通过这种方式注入的dll,其注入时机是比较早的,而且不依赖于是否此进程有消息处理过程。
回到开头说的,此注入方式依赖于消息钩子注入方式,因为hook CreateProcess的代码在xxx.dll中,而要使其生效首先得注入到指定的进程中,而这个注入最初是通过消息钩子方式,当xxx.dll注入到指定进程后,此进程在创建子进程时就会通过eip方式注入xxx.dll。
原理解析:
从代码汇编角度看
- 未HOOK前的MessageBox的前5个字节如下所示:
76E0FECF 8B FF mov edi,edi
76E0FED1 55 push ebp
76E0FED2 8B EC mov ebp,esp
.....
.....
- HOOK之后,把MessageBox的前面的5个字节变成如下所示:
76E0FECF E9 5C 2D F5 89 jmp NewMessageBoxW
这样当进程调用MessageBox函数时,就先调用NewMessageBoxW 。
代码中有个需要注意的地方是,NewMessageBoxW 函数中会调用系统原来的MessageBox。所以,在NewMessageBoxW 中调用MessageBox之前需要先解除hook,才能正常使用MessageBox,否则会导致循环调用。
当然,有更优化的方法,可以见:
https://blog.csdn.net/wl_tian_dao_chou_qin/article/details/119388885
code连接
https://github.com/zhaoguohan123/Blog/tree/master/MyHook/MyTestDetours/MyTestDetours
编译出来的进程运行如下:
其中5个button对应调用的函数可以细看代码,其中右边使用的是Detours开源库实现的这种注册方式。
3. 总结:
在工程中有些消息钩子是全局的,会注入到一些不相关的进程,从而造成异常。所以注入进程应该换一种方式,但是API拦截确实可以使用修改EIP的方式来实现
