Перехват API, который действует во всем процессе - как EXE, так и DLL

У меня есть приложение, состоящее из одного EXE и нескольких DLL. Прочитав Windows через C / C ++, я пытаюсь выполнить перехват функции Sleep в одной из DLL , и ожидается, что ловушка будет работать как с EXE, так и со всеми библиотеками DLL. Обратите внимание, что код CAPIHook получается из Windows через образец кода C / C ++

В проекте DLL

void WINAPI MySleep( DWORD dwMilliseconds );
CAPIHook g_Sleep("Kernel32.dll", "Sleep", (PROC)MySleep);
typedef void (WINAPI *Sleep_Type)( DWORD dwMilliseconds );

// Hook function.
void WINAPI MySleep( DWORD dwMilliseconds )
{
    printf ("-------> In MySleep\n");
    ((Sleep_Type)(PROC)g_Sleep)(dwMilliseconds);

}

// This is an example of an exported function.
DLL_API int dll_function_which_is_going_to_call_sleep(void)
{
    printf ("DLL function being called\n");
    printf ("Call Sleep in DLL function\n");
    Sleep(100);

    return 42;
}

В проекте EXE

void CexeDlg::OnBnClickedButton1()
{
    // TODO: Add your control notification handler code here
    printf ("Button being clicked\n");

    printf ("Call Sleep in EXE function\n");
    Sleep(100);

    dll_function_which_is_going_to_call_sleep();

    printf ("Call Sleep in EXE function\n");
    Sleep(100);

    dll_function_which_is_going_to_call_sleep();
}

Это результат, который я получаю

Button being clicked
Call Sleep in EXE function
-------> In MySleep
DLL function being called
Call Sleep in DLL function
Call Sleep in EXE function
-------> In MySleep
DLL function being called
Call Sleep in DLL function

Меня удивляет то, что я ожидаю, что CAPIHook вступит в силу для всего одного процесса. Поскольку EXE и DLL принадлежат одному процессу, оба должны иметь доступ к MySleep. Однако, по моим наблюдениям, MySleep достигает только вызов из EXE, но не DLL.

Я нахожу здесь образец кода CAPIHook -doesnt-have-effect-in-entire-process.zip, он содержит проекты dll и exe.

Однажды я также заменил CHookAPI кодом в apihijack. Та же проблема все еще возникает. Эффект зацепления не распространяется на весь процесс.

Я что-то упустил? Пожалуйста, не предлагайте мне использовать EasyHook, Detours, ..., так как я просто хочу знать, почему приведенный выше код не работает и как я могу это исправить.


windows c++ hook
person Cheok Yan Cheng    schedule 28.06.2011    source источник

Ответы (1)


arrow_upward
4
arrow_downward

Это связано с тем, что исходный CAPIHook не заменяет локальный IAT (в вашем случае проект DLL, содержащий двоичные файлы для CAPIHook).

Причина этого заключалась в том, чтобы защитить себя от бесконечной рекурсии, которая приводит к stackoverflow (который пользователи также будут задавать в SO: D).

Чтобы гарантировать, что все последующие загруженные модули будут импортировать "правильную" функцию,
CAPIHook выполняет поиск и перенаправляет LoadLibrary и GetProcAddress при построении.

Однако эти функции используются и самим CAPIHook, поэтому изменение локального IAT на функцию прокси (CAPIHook :: LoadLibrary или CAPIHook :: GetProcAddress) вызовет бесконечную рекурсию, поскольку прокси-серверы непреднамеренно вызвали себя при попытке вызвать базовый API ОС!


Один из способов решить эту проблему - изменить CAPIHook, чтобы проверить, можно ли заменить локальный IAT.

1.) В CAPIHook добавлен новый атрибут m_bIncludeLocalIAT и соответственно изменен ctor / dtor.

class CAPIHook
{
...
CAPIHook(PSTR pszCalleeModName, PSTR pszFuncName, 
         PROC pfnHook, BOOL bIncludeLocalIAT = TRUE);
...
BOOL m_bIncludeLocalIAT;
...
};


CAPIHook::CAPIHook( PSTR pszCalleeModName, PSTR pszFuncName, 
                    PROC pfnHook, BOOL bIncludeLocalIAT) {
    ...
    m_bIncludeLocalIAT = bIncludeLocalIAT;
    ...
    ReplaceIATEntryInAllMods(m_pszCalleeModName, m_pfnOrig, m_pfnHook, m_bIncludeLocalIAT);
}

CAPIHook::~CAPIHook() {
    ReplaceIATEntryInAllMods(m_pszCalleeModName, m_pfnHook, m_pfnOrig, m_bIncludeLocalIAT);
    ...
}

2.) В статическую функцию CAPIHook :: ReplaceIATEntryInAllMods добавлен новый параметр.

static void WINAPI ReplaceIATEntryInAllMods(PCSTR pszCalleeModName, 
      PROC pfnOrig, PROC pfnHook, BOOL bReplaceLocalIAT){

   HMODULE hmodThisMod = ExcludeAPIHookMod 
      ? ModuleFromAddress(ReplaceIATEntryInAllMods) : NULL;

   // Get the list of modules in this process
   CToolhelp th(TH32CS_SNAPMODULE, GetCurrentProcessId());

   MODULEENTRY32 me = { sizeof(me) };
   for (BOOL bOk = th.ModuleFirst(&me); bOk; bOk = th.ModuleNext(&me)) {

      if (bReplaceLocalIAT || (me.hModule != hmodThisMod)) {

         // Hook this function in this module
         ReplaceIATEntryInOneMod(
            pszCalleeModName, pfnCurrent, pfnNew, me.hModule);
      }
   }
}

3.) Обновите статические экземпляры CAPIHook.

CAPIHook CAPIHook::sm_LoadLibraryA  ("Kernel32.dll", "LoadLibraryA",   
   (PROC) CAPIHook::LoadLibraryA, FALSE);

CAPIHook CAPIHook::sm_LoadLibraryW  ("Kernel32.dll", "LoadLibraryW",   
   (PROC) CAPIHook::LoadLibraryW, FALSE);

CAPIHook CAPIHook::sm_LoadLibraryExA("Kernel32.dll", "LoadLibraryExA", 
   (PROC) CAPIHook::LoadLibraryExA, FALSE);

CAPIHook CAPIHook::sm_LoadLibraryExW("Kernel32.dll", "LoadLibraryExW", 
   (PROC) CAPIHook::LoadLibraryExW, FALSE);

CAPIHook CAPIHook::sm_GetProcAddress("Kernel32.dll", "GetProcAddress", 
   (PROC) CAPIHook::GetProcAddress, FALSE);
person YeenFei    schedule 28.06.2011
comment
Очень полезное объяснение того, почему это не работает. Палец вверх! - person Cheok Yan Cheng; 28.06.2011