陷阱式APIHook的原理及其在截取串口数据中的应用..pptVIP

基本原理 and 在截取串口数据中的应用 ygm5169@ * * * * 利用API Hook技术将我们的程序代码注入其他进程 修改系统中的ReadFile、WriteFile、CreateFile和CloseHandle函数 * * 1、Windows为了保护进程而不允许进程之间的访问。 2、使用API Hook 给目标进程设置一个特定消息Hook，在发生这种消息的时候就会自动调用Hook函数。 3、Hook函数只能存在与DLL中，因为只有DLL可以“大家一起用”。 4、当Hook函数被调用时，它所在的DLL也一起映射进入了目标进程。 5、如果我们在DLL中修改了某些系统API，系统就会自动的调用我们自己定义的API，实现既定的功能。 * * WinAPI WINMAIN(…){ … SetDIPSHook … } SetDIPSHook{ SetWindowsHookEx(…) } …… Call ReadFile; …… GetMsgProc(){ } 1 目标进程载入DLPSLIB.dll (寄生程序) 同时修改ReadFile跳转到NewReadFile DLPSLIB.dll DLPSLIB.dll 2 3 共享内存 6 SimpleDIP.exe 目标进程 设定要 将GetMsgProc() 注射进 目标进程 NewReadFile(){ } SetDIPSHook{ SetWindowsHookEx(…) } GetMsgProc(){ } NewReadFile(){ } ReadFile(){ …… } 目标进程载入dll时，dll就已经成为其一部分了 4 5 思考：能直接跳转吗？ 控制进程 截获的数据放在这里能够被任何进程访问 * * 只要两个函数的参数一样，即堆栈结构一样，就可以相互代替 jmp NewReadFile ReadFile函数的修改和使用 修改ReadFile 将ReadFile的第一条指令修改为jmp NewReadFile 使用ReadFile 将要写入文件的数据进行修改 将ReadFile的第一条指令还原 调用ReadFile完成其功能 将ReadFile的第一条指令修改为jmp指令 * * …… Call ReadFile …… NewReadFile(){ 还原ReadFile 调用ReadFile 修改ReadFile ret } ReadFile(){ …… ret } 调用 自定义函数 被劫持函数 * * …… Call ReadFile …… NewReadFile(){ 还原ReadFile 调用ReadFile 修改ReadFile ret } ReadFile(){ jmp NewReadFile …… ret } 调用 自定义函数 被劫持函数 1 2 3 4 1 2 3 4 5 6 7 8 9 截取串口数据，实际上就是利用上述原理修改系统的4个API：CreateFile、ReadFile、WriteFile和CloseHandle，利用NewCreateFile截获串口打开时的设备句柄，在NewReadFile和NewWriteFile中用串口设备句柄识别串口的读写操作并对其数据进行观察控制。 * * * * NewCreateFile(文件名){ 还原CreateFile; Handle = CreateFile(文件名); 修改CreateFile; if(文件名==“COM2”) 保存Handle到共享内存变量ComHandle中 } * * NewWriteFile(文件句柄，数据){ if(文件句柄=ComHandle) 修改“数据” 还原WriteFile; WriteFile(文件句柄，数据); 修改WriteFile; } * * NewReadFile(文件句柄，数据){ 还原ReadFile; ReadFile(文件句柄，数据); 修改ReadFile; if(文件句柄=ComHandle) 修改“数据” } * * NewCloseHandle(文件句柄){ 还原CloseHandle; CloseHandle (文件句柄); 修改CloseHandle; if(文件句柄=ComHandle) ComHandle=NULL; } 上述API Hook在运行中要反复修改被劫持的API。在Windows多线程环境下会出现大量的内存错误。 解