说道API HOOK ，这已经是老掉牙的技术了，但是它的实用性却是不能忽视的。虽然在网上这类的文章很多，但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行，但是不通用，因为一些特殊函数的前5字节不是完整的，如果直接修改，就会截断指令，导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子，感觉想法很好，于是自己也写了一个。其中用到了一个头文件LDasm.h（里面实际就是一个轻量级的反汇编引擎，本地下载）。
第一个函数用于对指定API进行HOOK，并返回一个进入原函数的代理函数地址。

PVOID HookFunction(PCHAR ModuleName,PCHAR FunctionName,PVOID pNewFunction)
{
    UCHAR JumpCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3};     //push xxxxxxxx ret
     UCHAR JumpBackCode[6] = {0x68,0x00,0x00,0x00,0x00,0xC3}; //push xxxxxxxx ret
     
    PVOID pSourceFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
    if (!pSourceFunction)return NULL;
    *(ULONG *)((ULONG)JumpCode + 1) = (ULONG)pNewFunction;

    PVOID pProxyFunction = 0;
    PUCHAR pOpCode;
    ULONG BackupLength = 0;
    
    while (BackupLength < 6)
    {
        BackupLength += SizeOfCode((PVOID)((ULONG)pSourceFunction + BackupLength),&pOpCode);
    }

    pProxyFunction = VirtualAlloc(NULL,BackupLength + 6,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);
    if (!pProxyFunction)return NULL;
    *(ULONG *)((ULONG)JumpBackCode + 1) = (ULONG)pSourceFunction + BackupLength;
    
    RtlCopyMemory(pProxyFunction,pSourceFunction,BackupLength);
    RtlCopyMemory((PVOID)((ULONG)pProxyFunction + BackupLength),JumpBackCode,6);
    FlushInstructionCache((HANDLE)-1,pProxyFunction,BackupLength + 6);
    DWORD OldProtect = 0;
    VirtualProtect(pSourceFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);
    RtlCopyMemory(pSourceFunction,JumpCode,6);
    VirtualProtect(pSourceFunction,6,OldProtect,&OldProtect);
    FlushInstructionCache((HANDLE)-1,pSourceFunction,6);
    return pProxyFunction;

}

 
注意，在JumpCode和JumpBackCode中，我使用的是push+ret的方式进行跳转（跟网上一牛人学的），其目的是不用计算相对偏移，也不容易被一些安全工具发现。其中还有一个重要的函数——SizeOfCode（），它就是反汇编引擎里的一个函数，用于计算一个完整指令的长度，防止指令被截断，它是实现通用性的关键。
第二个函数用于恢复被HOOK的函数，它需要HookFunction函数返回的代理函数地址作为参数。

BOOL UnHookFunction(PCHAR ModuleName,PCHAR FunctionName,PVOID pProxyFunction)
{
    PVOID pSourceFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
    if (!pSourceFunction)return FALSE;
    
    DWORD OldProtect = 0;
    VirtualProtect(pSourceFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);
    RtlCopyMemory(pSourceFunction,pProxyFunction,6);
    VirtualProtect(pSourceFunction,6,OldProtect,&OldProtect);
    FlushInstructionCache((HANDLE)-1,pSourceFunction,6);
    BOOL res = VirtualFree(pProxyFunction,NULL,MEM_RELEASE);
    if (!res)return FALSE;
    return TRUE;

 
这个函数很简单，只是做一些清理工作。
最后，我还写了个函数用于检查某个函数是否被HOOK，但只能检查出两种形式的HOOK，一种jmp形式，一种push＋ret形式，不过也够用了。

BOOL IsFuncHooked(PCHAR ModuleName,PCHAR FunctionName)
{
    PVOID pFunction = GetProcAddress(GetModuleHandleA(ModuleName),FunctionName);
    
    if (!pFunction)return FALSE;
    DWORD OldProtect = 0;
    VirtualProtect(pFunction,6,PAGE_EXECUTE_READWRITE,&OldProtect);
    UCHAR chas = *(UCHAR *)((ULONG)pFunction + 5);
    if (((*(UCHAR *)pFunction == 0x68)&&(*(UCHAR *)((ULONG)pFunction + 5) == 0xC3))||(*(UCHAR *)pFunction == 0xEB)||(*(UCHAR *)pFunction == 0xEA))
    {
        VirtualProtect(pFunction,6,OldProtect,&OldProtect);
        return TRUE;
    }
    else
    {
        VirtualProtect(pFunction,6,OldProtect,&OldProtect);
        return FALSE;
    }
    
}

好了，以上就是主要的三个函数。在说一下，我没有采用先HOOK，到调用原函数时又恢复HOOK的方法。因为这种方法效率不高，而且还不安全（尤其在多线程环境下）。所以我将原函数的前X个字节保存到另一个地方（即返回的代理函数地址），并在其后面加上回条指令（即JumpBackCode），跳到原函数的第X个指令后继续执行，这样就避免了对原函数的反复读写。
最后，有不足之处还请高手指点。
本文转自博客园：AniX's Blog

本文链接:https://it72.com:4443/11885.htm