(一)HOOK程序执行的过程。
将我们的dll“注射”入被hook的进程 -> 保存系统函数入口处的代码 -> 替换掉进程中的系统函数入口指向我们的函数 -> 当系统函数被调用,立即跳转到我们的函数 -> 我们函数进行处理 -> 恢复系统函数入口的代码 -> 调用原来的系统函数 -> 再修改系统函数入口指向
(二)共享数据段
1.格式:
#pragma data_seg(共享数据名称)
共享数据
#pragma data_seg()
#pragma comment(linker, "/SECTION:flag_data, RWS");告诉编译器该段的属性(可读、可写、共享)。还有两种方法达到同样的效果:一种方法是在.DEF文件中加入如下语句: SETCTIONS shareddata READ WRITE SHARED 另一种方法是在项目设置链接选项(Project Setting --〉Link);
(三)_asm关键字启动内联汇编。
必须接汇编指令或者是一组大括号包含的指令。
(四)hook分为两大类:
1.系统消息 hook
2.API hook
(五)注意事项
1.jump指令对CPU有依赖,在不同位数的操作系统下有不同表现。
2.由于替换汇编代码过程,不是原子操作,很有可能在其它线程运行到函数的入口的时候进行替换,导致指令异常,程序奔溃。
3.解决多线程的办法
1)替换的过程首先按上互斥锁,这把锁只对替换的过程互斥,并无法避免其它线程正在调用要替换的函数。
2)挂起除本线程外的其它线程,并且确保其它线程的执行点不要在Hook的区域内。
(六)函数调用约定
函数调用约定主要约束了两件事:
1.参数传递顺序
2.调用堆栈由谁清理。
常用的调用约定有:_stdcall、_cdecl、_fastcall.
_stdcall:参数传递顺序,从右到左。调用堆栈由他自己在退出时清空堆栈。
_cdecl:参数传递顺序,从右到左。调用堆栈有调用者清理。
_fastcall:参数传递顺序,先通过寄存器传递剩下的还是从右到左压栈,被调用的函数在放回前清理传送参数的内存栈。
COM Hook原理
因为COM接口是没有成员变量的只有纯虚函数的类,其虚函数指针在内存分配上具有唯一性,替换虚函数地址可以达到hook COM的目的。