//
//write by Gxter
//
//通过覆盖系统函数的地址来实现HOOK API
//
#include "stdio.h"
#include "windows.h"
#include "tchar.h"

// "崩溃函数绝对地址"指00401020
BYTE addr_old[8] = {0};
BYTE addr_new[8] = { 0xB8, 0x20, 0x10, 0x40, 0x00, 0xFF, 0xE0, 0x00 }; //第2，3，4，5是需要手工调整的（重要的步骤）
DWORD pfnMsgBox=0; //API函数地址


int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType)
{
    int ret = 0;

    DWORD dwOldProtect;
    MEMORY_BASIC_INFORMATION   mbi;
   

    printf("%08x\n", MessageBoxProxy);

    ::VirtualQuery((void *)pfnMsgBox, &mbi, sizeof(mbi));
    ::VirtualProtect((void *)pfnMsgBox, 8, PAGE_READWRITE, &dwOldProtect);
   

    // 写入原来的执行代码, 恢复
    ::WriteProcessMemory(::GetCurrentProcess(),
        (void *)pfnMsgBox,
        addr_old,
        sizeof(DWORD)*2,
        NULL);
   

    ::VirtualProtect((void *)pfnMsgBox, 8, mbi.Protect, 0);
   

    ret=MessageBox(hWnd,"gxter","gxter",uType);
   

    return ret;
}


//----------------------------------------------程序入口
int main()
{
    DWORD dwOldProtect;
    MEMORY_BASIC_INFORMATION   mbi;
   

    MessageBox(NULL,_T("Hook Demo!"),_T("API Hook"),MB_ICONINFORMATION);
    pfnMsgBox=(DWORD)GetProcAddress(GetModuleHandle(_T("user32.dll")),_T("MessageBoxA"));
    printf("api 入口地址: %x\n",pfnMsgBox);
   

   

    VirtualQuery( (void *)pfnMsgBox, &mbi, sizeof(mbi) );
    //修改我们要改的地址的页属性，为可读可写
    VirtualProtect( (void *)pfnMsgBox, 8, PAGE_READWRITE, &dwOldProtect);
   

    // 保存原来的执行代码
    memcpy(addr_old, (void *)pfnMsgBox, 8);
   

    // 写入新的执行代码
    WriteProcessMemory( GetCurrentProcess(),
        (void *)pfnMsgBox,
        addr_new,
        sizeof(DWORD)*2,
        NULL);
    //修改为原来的属性属性
    VirtualProtect((void *)pfnMsgBox, 8, mbi.Protect, 0);
   

    //当调用这个函数的时候就跳到我的函数上面了
    MessageBox(NULL,_T("Hook Demo!"),_T("API Hook"),MB_ICONINFORMATION);
   

   

    getchar();
    return 0;
}

上面的代码好像没有使用函数 MessageBoxProxy ，但是把这个函数去掉，又程序运行错误，不知道为什么 ？

0xB8, 0x20, 0x10, 0x40, 0x00, 0xFF, 0xE0, 0x00

相当于

mov eax,401020
jmp eax


意思是跳到 401020处执行,貌似是要调转到自己的MessageBox执行,此写法是有问题的, 函数地址都是变的,将函数硬编码出来肯定要处问题的

另外不需要修改内存页属性,所以
    DWORD dwOldProtect;
    MEMORY_BASIC_INFORMATION   mbi;

    ::VirtualQuery((void *)pfnMsgBox, &mbi, sizeof(mbi));
    ::VirtualProtect((void *)pfnMsgBox, 8, PAGE_READWRITE, &dwOldProtect);

 之类的都可以删掉

作者用了手工编码的方式将MessageBoxProxy的地址放入eax寄存器，并形成相对跳转代码。8个字节只是为了便于操作。每次改变编译方式或更换编译器，都要手工计算这个加载点，这个方法应该是比较笨拙的（希望作者不要介意啊）。

我把函数MessageBoxProxy的名字改成别的好像程序也是好的，这个硬编码地址很奇怪呀，怎么就能刚刚制定到这个函数地址？

但是随便在源代码中增加新的一个函数，这个程序就挂了！

另外，我在MessageBoxProxy函数中把该函数的入口地址打印出来，也不是这个 00401020 呀？！


[ 本帖最后由 vfdff 于 2010-8-8 17:39 编辑 ]

   这个硬编码地址很奇怪呀，怎么就能刚刚制定到这个函数地址？

   它可以自己调试打印出来啊。

   但是随便在源代码中增加新的一个函数，这个程序就挂了！

   加入新代码，影响代码生成的布局啊。硬编码无效了，所以要重新计算（观察）。

   另外，我在MessageBoxProxy函数中把该函数的入口地址打印出来，也不是这个 00401020 呀？！

   你打印的是API MessageBox的地址。

   


[ 本帖最后由 东海一鱼 于 2010-8-8 18:04 编辑 ]

很明显 API messageBox 入口地址 77d507ea 和我打印的地址0040100a不一致的！
 单步调试时显示的却真是 00401020 ，怎么和我printf显示的值不一致呢 ？



[ 本帖最后由 vfdff 于 2010-8-8 20:16 编辑 ]

不好意思，图太小，只看到上面的API地址了。
你可以试试把上面的00401020改成0040100a，照样OK。
但是你如果改成Release编译的话，0040100a这个地址就‘挂了’。
原因是：Debug版的每个内部函数还有一个类似于IAT的ILT表。这个0040100a就是指向ILT中的函数地址。

成Release编译的话，00401020也挂了,需要改成00401000 ！


[ 本帖最后由 vfdff 于 2010-8-9 22:54 编辑 ]

哈，那你何妨给它改成自动获取地址的试试。

是的，只顾问问题，差点把本质的问题给弄丢了
结果大家的指点与自己的实际测试，我知道这个地址并没有什么特别的地方，只是凑上去的而已