最近研究沙箱优化,发现需要学习一下 hook API 的方法,于是去啃了cuckoo的源码,发现基本原理是一种叫做inline hook的hook方法,于是去专门查了一下inline hook,看到了luoyesiqiu的文章,让我明白了很多之前不懂的地方。(文章链接https://www.cnblogs.com/luoyesiqiu/p/12306336.html)
于是我就把例子代码copy回来,稍微改动一下,想运行一下看看情况。
StartHook和UnHook都没动,就改了一下调用和回调函数:
先不在意其他细节,总体逻辑就是hook GetSystemInfo,然后调用GetSystem,再解hook
回调函数就是在GetSystemInfo 被调用的时候输出“Im hook!!!”
编译,运行
问题出现了,程序确实跳到回调了,可是没跳回来。
反复翻看大哥的文章原文,发现大哥的例子其实只是单纯的讲述了Inline hook的原理,而不是用inline 来hook API的,因此例子代码仅在hook地址是一个5字节call 的时候,才能顺利跳到回调函数再跳回来。
如果hook一个系统函数,函数体头部几乎不可能是一个call指令,所以还要多考虑一些事情。
于是我脑袋里设想了一下大概的思路,就是替换5字节之后,要把原有的第一条指令进行备份,并记录下第二条指令的起始位置,在hook 跳转到回调函数后,执行完附加的工作之后,还要执行一下备份第一条指令的原有操作,然后再jmp回函数体的第二条指令继续执行,这样才能保证程序正常执行。
于是,我明白了调用了反编译器的lde函数在计算什么,它应该是想得到一条完整指令的长度。
我也明白了一件事,想轻松HookAPI 不是一件轻松的事,所以我打算站在巨人的肩膀上,使用cuckoo的代码(毕竟后面优化沙箱也会用到)
为便于理解,我打算先以自己的方式完成这个hook:
先把所有和hook相关的部分删掉调试一下,观察GetSystemInfo的函数体,记住这个地址。
然后,再编译一个有hook的版本,再观察这个位置的变化,checkCPU入口(0x00d26dd0)下断点,发现跟我想的不一样,改的不是GetSystemInfo的函数体,而是一个6字节的jmp,想想也是,这里是kernel32.dll的一个函数列表,为什么不是直接走函数体,我也不理解,可能是出于安全考虑。
这样的话事情似乎变得简单了,和大哥的例子就很像了。
可以看到 我们覆盖的位置(0x775d9f80)5个字节,就是一条jmp(FF 25)指令的前五个字节,跳转地址00186477,这个地址应该是不变的。
执行过starthook函数,看一下,我们的确成功替换了5个字节,代码执行到这的时候会跳转到我们的hook函数上:
但我们做的不够好,第一,我们落下一个0x77没有替换,让他变成了一个ja 指令。第二,我们没有让程序回到00186477(0x77641800)
我们先不管第一个问题,先让hook函数做完想做的事后,继续去执行GetSystemInfo函数。
编译运行,程序又又又崩了,是没跳回去吗?调试!
和前面的步骤,执行到GetSystemInfo跟进去,跳进hook函数,可以看到,做完想做的事之后,会call getsysteminfo(那为什么崩了呢?)
call进来之后,这崩了……
这里搞错了,这里原来的指令应该是 jmp [0x77641800] 的地址 0x7648f370。
再修改一次代码:
编译执行:
bingo!!!
