ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby (https://forum.antichat.xyz/forumdisplay.php?f=24)
-   -   [C++] Custom Hooks (https://forum.antichat.xyz/showthread.php?t=1330412)

ЯedЯuM 15.02.2019 20:06
Сделано для тех кто не любит таскать за собой целые библиотеки хуков.

Благодаря возможности указывать размер пролога, можно хукать как WIN API так и пользовательские функции.

Присутствует трамплин.

Цитата:
Сообщение от Спойлер


C++:





[CODE]
DWORD
MakeJump
(
DWORD jmp_address
,
DWORD hookAddr
,
byte
*
prologue
,
size_t prologue_size
)
{
DWORD old_prot
=
0x0
;
if
(
prologue
==
nullptr
)
return
0x0
;
VirtualProtect
(
(
void
*
)
jmp_address
,
prologue_size
,
PAGE_EXECUTE_READWRITE
,
&
old_prot
)
;
memcpy
(
prologue
,
(
void
*
)
jmp_address
,
prologue_size
)
;
byte addrToBytes
[
5
]
=
{
0xE9
,
0x90
,
0x90
,
0x90
,
0x90
}
;
DWORD JMPBytes
=
(
hookAddr
-
jmp_address
-
5
)
;
memcpy
(
&
addrToBytes
[
1
]
,
&
JMPBytes
,
4
)
;
memcpy
(
(
void
*
)
jmp_address
,
addrToBytes
,
5
)
;
PVOID Trampoline
=
VirtualAlloc
(
0
,
(
5
+
(
prologue_size
-
5
)
)
,
MEM_COMMIT
|
MEM_RESERVE
,
PAGE_EXECUTE_READWRITE
)
;
byte TrampolineBytes
[
5
]
=
{
0xE9
,
0x90
,
0x90
,
0x90
,
0x90
}
;
if
(
prologue_size
>
5
)
{
byte nop
[
]
=
{
0x90
}
;
for
(
byte x
=
0
;
x
Пример установки и удаления хука

C++:





Код:
DWORD Trampoline
=
0x0
;
byte prologue
[
5
]
;
void
__stdcall
UserHook
(
DWORD access
,
BOOL inherit
,
DWORD procID
)
{
printf
(
"Hooked: %d\n"
,
procID
)
;
__asm jmp Trampoline
}
void
InstallAndDeleteHook
(
)
{
DWORD Addr
=
(
DWORD
)
GetProcAddress
(
GetModuleHandleA
(
"kernel32.dll"
)
,
"OpenProcess"
)
;
Trampoline
=
MakeJump
(
Addr
,
(
DWORD
)
&
UserHook
,
prologue
,
5
)
;
// Устанавливаем
RestorePrologue
(
Addr
,
prologue
,
5
)
;
// Удаляем
}


Автор: ЯedЯuM

Stiopko 15.02.2019 20:56
А для чего нужен трамплин?

#Rin 15.02.2019 21:20
Цитата:
Сообщение от Stiopko

А для чего нужен трамплин?
Что бы вызывать оригинальную функцию, не снимая хук.

Stiopko 15.02.2019 21:34
А для чего нужен пролог?

#Rin 15.02.2019 21:44
Цитата:
Сообщение от Stiopko

А для чего нужен пролог?
Пролог процедуры — Википедия(https://ru.m.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%BB%D0%BE%D0%B3_%D0%BF%D1%80% D0%BE%D1%86%D0%B5%D0%B4%D1%83%D1%80%D1%8B)

ЯedЯuM 15.02.2019 22:06
Цитата:
Сообщение от Stiopko

А для чего нужен пролог?
Пролог это начало функции (push ebp, mov ebp, esp и тд), Эпилог её конец(перед возвратом).

Само понятие на сколько знаю пришло из ассемблера.

Просто если поставить хук, на прыжок требуется 5 байт, в вин апи почти в каждой стоит в самом начале инструкция mov edi, edi и вместе с push ebp, mov ebp, esp код как раз столько же и весит. А в случае с пользовательскими функциями к примеру, после mov ebp, esp может не быть инструкции размером в два байта, в итоге получится что хук затрёт два байта от той инструкции и она разобьется на другой код который будет уже не валид, возврат трамплином в такой код спровоцирует краш, вот почему нужно учитывать размер пролога функции, потому что инструкции push ebp, mov ebp, esp весят только 3 байта чего не достаточно для jmp инструкции прыжка на хук.

@Stiopko вот пример с пояснением как знать сколько байт указывать в размер пролога

https://forum.antichat.xyz/attachments/27302738/

Нам нужно занопить лишний байт, по этому указываем размер хука в 6 байт и тот байт 08 переставит на 90 (nop - ничего не делающая инструкция).

https://forum.antichat.xyz/attachments/27302738/

А вот наглядный пример для чего нужен трамплин а он нужен не только для возврата в оригинальную функцию.

https://forum.antichat.xyz/attachments/27302738/


Время: 06:08