Крючок - Hooking
В компьютерное программирование, период, термин зацепление охватывает ряд методов, используемых для изменения или улучшения поведения Операционная система, из Приложения, или других программных компонентов путем перехвата вызовы функций или же Сообщения или же События прошел между программные компоненты. Код, обрабатывающий такие перехваченные вызовы функций, события или сообщения, называется крюк.
Зацепление используется для многих целей, в том числе отладка и расширение функциональности. Примеры могут включать перехват сообщений о событиях клавиатуры или мыши до того, как они достигнут приложения, или перехват вызовов операционной системы для отслеживания поведения или изменения функции приложения или другого компонента. Он также широко используется в программах тестирования, например частота кадров измерения в 3D-играх, где вывод и ввод осуществляется через перехват.
Перехват также может быть использован вредоносным кодом. Например, руткиты, части программного обеспечения, которые пытаются сделать себя невидимыми, подделывая вывод API звонки, которые иначе раскрыли бы их существование, часто используют технику перехвата.
Методы
Обычно перехватчики вставляются, когда программное обеспечение уже запущено, но перехват - это тактика, которую также можно использовать до запуска приложения. Оба эти метода более подробно описаны ниже.
Модификация исходного кода
Изменяя источник исполняемый файл или же библиотека перед запуском приложения с помощью методов разобрать механизм с целью понять, как это работает, вы также можете добиться зацепки. Обычно это используется для перехвата вызовов функций, чтобы контролировать или полностью заменять их.
Например, используя дизассемблер, то входная точка из функция в пределах модуль можно найти. Затем его можно изменить, чтобы вместо этого динамически загружать какой-либо другой библиотечный модуль, а затем заставить его выполнять необходимые методы в этой загруженной библиотеке. Если возможно, другой связанный подход, с помощью которого может быть достигнуто зацепление, заключается в изменении таблица импорта исполняемого файла. Эта таблица может быть изменена для загрузки любых дополнительных библиотечных модулей, а также для изменения внешнего кода, вызываемого при вызове функции приложением.
Альтернативный метод достижения перехвата функций - перехват вызовов функций через библиотека оболочки. При создании оболочки вы создаете свою собственную версию библиотеки, загружаемой приложением, со всеми функциями исходной библиотеки, которую она заменит. То есть все доступные функции в оригинале и замене практически одинаковы. Эта библиотека-оболочка может быть разработана для вызова любой функции из исходной библиотеки или замены ее совершенно новым набором логики.
Модификация среды выполнения
Операционные системы и программное обеспечение могут предоставлять средства для простой вставки обработчиков событий в время выполнения. Доступен при условии, что процесс для вставки крючка предоставляется достаточно разрешений. Например, Microsoft Windows позволяет вставлять хуки, которые можно использовать для обработки или изменения системы. События и события приложений для диалоги, полосы прокрутки, и меню а также другие предметы. Он также позволяет ловушке вставлять, удалять, обрабатывать или изменять клавиатура и мышь События. Linux предоставляет еще один пример, где перехватчики могут использоваться аналогичным образом для обработки сетевых событий в пределах ядро через NetFilter.
Когда такая функциональность не предоставляется, специальная форма подключения использует перехват вызовов библиотечных функций, выполняемых процессом. Перехват функций реализуется путем изменения самых первых нескольких инструкций кода целевой функции для перехода к внедренному коду. В качестве альтернативы в системах, использующих общая библиотека концепция, вектор прерывания стол или таблица дескрипторов импорта можно изменить в памяти. По сути, эти тактики используют те же идеи, что и модификации исходного кода, но вместо этого изменяют инструкции и структуры, расположенные в памяти процесса, когда он уже запущен.
Образец кода
Перехват таблицы виртуальных методов
Когда класс определяет / наследует виртуальная функция (или метод), компиляторы добавляют в класс скрытую переменную-член, которая указывает на таблица виртуальных методов (VMT или Vtable). Большинство компиляторов помещают скрытый указатель VMT в первые 4 байта каждого экземпляра класса. VMT - это в основном массив указатели ко всем виртуальным функциям, которые могут вызывать экземпляры класса. Во время выполнения эти указатели устанавливаются так, чтобы указывать на нужные функции, потому что в время компиляции, еще не известно, должна ли быть вызвана базовая функция или должна быть вызвана переопределенная версия функции из производного класса (что позволяет полиморфизм ). Следовательно, виртуальные функции могут быть подключены путем замены указателей на них в любом VMT, который они появляются. В приведенном ниже коде показан пример типичного перехвата VMT в Microsoft Windows, написанного на C ++.[1]
#включают <iostream>#включают "windows.h" с помощью пространство имен стандартное; учебный класс VirtualClass{общественный: int номер; виртуальный пустота VirtualFn1() // Это виртуальная функция, которая будет подключена. { cout << "VirtualFn1 вызван" << номер++ << " п п"; }}; с помощью VirtualFn1_t = пустота(__thiscall*)(пустота* thisptr); VirtualFn1_t orig_VirtualFn1; пустота __fastcall hkVirtualFn1(пустота* thisptr, int edx) // Это наша функция перехвата, которую мы заставим программу вызывать вместо исходной функции VirtualFn1 после завершения перехвата.{ cout << "Функция перехвата вызвана" << " п"; orig_VirtualFn1(thisptr); // Вызов исходной функции.} int главный(){ VirtualClass* мой класс = новый VirtualClass(); // Создаем указатель на динамически выделяемый экземпляр VirtualClass. пустота** vTablePtr = *reinterpret_cast<пустота***>(мой класс); // Находим адрес, который указывает на базу VMT VirtualClass (которая затем указывает на VirtualFn1), и сохраняем его в vTablePtr. DWORD oldProtection; VirtualProtect(vTablePtr, 4, PAGE_EXECUTE_READWRITE, &oldProtection); // Снимает защиту страницы в начале VMT, чтобы мы могли перезаписать ее первый указатель. orig_VirtualFn1 = reinterpret_cast<VirtualFn1_t>(*vTablePtr); // Сохраняет указатель на VirtualFn1 из VMT в глобальной переменной, чтобы к нему можно было получить доступ позже после того, как его запись в VMT была // перезаписывается нашей функцией-перехватчиком. *vTablePtr = &hkVirtualFn1; // Перезаписываем указатель на VirtualFn1 в виртуальной таблице указателем на нашу функцию-перехватчик (hkVirtualFn1). VirtualProtect(vTablePtr, 4, oldProtection, 0); // Восстановить старую защиту страницы. мой класс->VirtualFn1(); // Вызов виртуальной функции из нашего экземпляра класса. Поскольку он теперь подключен, это вызовет нашу функцию-перехватчик (hkVirtualFn1). мой класс->VirtualFn1(); мой класс->VirtualFn1(); Удалить мой класс; возвращаться 0;}
Важно отметить, что все виртуальные функции должны быть функциями-членами класса, и все (нестатические) функции-члены класса вызываются с соглашением о вызовах __thiscall (если функция-член не принимает переменное количество аргументов, и в этом случае она вызывается с __cdecl). Соглашение о вызовах __thiscall передает указатель на экземпляр вызывающего класса (обычно называемый указателем «this») через регистр ECX (в архитектуре x86). Следовательно, чтобы функция-перехватчик могла правильно перехватить переданный указатель this и принять его в качестве аргумента, она должна просмотреть регистр ECX. В приведенном выше примере это делается путем установки функции перехвата (hkVirtualFn1) для использования соглашения о вызовах __fastcall, которое заставляет функцию перехвата искать один из своих аргументов в регистре ECX.
Также обратите внимание, что в приведенном выше примере функция-перехватчик (hkVirtualFn1) сама не является функцией-членом, поэтому она не может использовать соглашение о вызовах __thiscall. Вместо этого следует использовать __fastcall, потому что это единственное другое соглашение о вызовах, которое ищет аргумент в регистре ECX.
C # обработчик событий клавиатуры
Следующий пример будет подключаться к событиям клавиатуры в Microsoft Windows с помощью Microsoft .NET Framework.
с помощью System.Runtime.InteropServices;пространство имен Крючки{ общественный учебный класс KeyHook { / * Переменные-члены * / защищенный статический int Крюк; защищенный статический LowLevelKeyboardDelegate Делегат; защищенный статический только чтение объект Замок = новый объект(); защищенный статический bool Зарегистрирован = ложный; / * Импорт DLL * / [DllImport ("user32")] частный статический внешний int SetWindowsHookEx(int idHook, LowLevelKeyboardDelegate lpfn, int hmod, int dwThreadId); [DllImport ("user32")] частный статический внешний int CallNextHookEx(int hHook, int nCode, int wParam, KBDLLHOOKSTRUCT lParam); [DllImport ("user32")] частный статический внешний int ОтцепитьWindowsHookEx(int hHook); / * Типы и константы * / защищенный делегировать int LowLevelKeyboardDelegate(int nCode, int wParam, ссылка KBDLLHOOKSTRUCT lParam); частный const int HC_ACTION = 0; частный const int WM_KEYDOWN = 0x0100; частный const int WM_KEYUP = 0x0101; частный const int WH_KEYBOARD_LL = 13; [StructLayout (LayoutKind.Sequential)] общественный структура KBDLLHOOKSTRUCT { общественный int vkCode; общественный int scanCode; общественный int флаги; общественный int время; общественный int dwExtraInfo; } / * Методы * / статический частный int LowLevelKeyboardHandler(int nCode, int wParam, ссылка KBDLLHOOKSTRUCT lParam) { если (nCode == HC_ACTION) { если (wParam == WM_KEYDOWN) Система.Консоль.Из.WriteLine("Ключ вниз:" + lParam.vkCode); еще если (wParam == WM_KEYUP) Система.Консоль.Из.WriteLine("Ключ вверх:" + lParam.vkCode); } возвращаться CallNextHookEx(Крюк, nCode, wParam, lParam); } общественный статический bool Регистрация() { замок (Замок) { если (Зарегистрирован) возвращаться истинный; Делегат = LowLevelKeyboardHandler; Крюк = SetWindowsHookEx( WH_KEYBOARD_LL, Делегат, Маршал.GetHINSTANCE( Система.Отражение.сборка.GetExecutingAssembly().GetModules()[0] ).ToInt32(), 0 ); если (Крюк != 0) возвращаться Зарегистрирован = истинный; Делегат = ноль; возвращаться ложный; } } общественный статический bool Отменить регистрацию() { замок (Замок) { возвращаться Зарегистрирован = (ОтцепитьWindowsHookEx(Крюк) != 0); } } }}
Перехват API / функций / перехват с использованием инструкции JMP, известной как сращивание
Следующий исходный код является примером метода перехвата API / функции, который перехватывает, перезаписывая первые шесть байтов пункта назначения. функция с JMP инструкция к новой функции. Код компилируется в DLL файл затем загружается в целевой процесс с использованием любого метода DLL-инъекция. Используя резервную копию исходной функции, можно затем снова восстановить первые шесть байтов, чтобы вызов не прерывался. В этом примере Win32 API перехватывается функция MessageBoxW.[2]
/* Эта идея основана на подходе chrom-lib, распространяемом по лицензии GNU LGPL. Источник chrom-lib: https://github.com/linuxexp/chrom-lib Copyright (C) 2011 Раджа Джамвал*/#включают <windows.h> #define SIZE 6 typedef int (WINAPI *pMessageBoxW)(HWND, LPCWSTR, LPCWSTR, UINT); // Прототип окна сообщения int WINAPI MyMessageBoxW(HWND, LPCWSTR, LPCWSTR, UINT); // Наш объезд пустота BeginRedirect(LPVOID); pMessageBoxW pOrigMBAddress = НОЛЬ; // адрес оригинала БАЙТ oldBytes[РАЗМЕР] = {0}; // резервный БАЙТ JMP[РАЗМЕР] = {0}; // 6-байтовая инструкция JMP DWORD oldProtect, myProtect = PAGE_EXECUTE_READWRITE; INT APIENTRY DllMain(HMODULE HDLL, DWORD Причина, LPVOID Зарезервированный) { выключатель (Причина) { дело DLL_PROCESS_ATTACH: // если прикреплен pOrigMBAddress = (pMessageBoxW) GetProcAddress(GetModuleHandleA("user32.dll"), // получаем адрес оригинала "MessageBoxW"); если (pOrigMBAddress != НОЛЬ) BeginRedirect(MyMessageBoxW); // начинаем объезд перемена; дело DLL_PROCESS_DETACH: VirtualProtect((LPVOID)pOrigMBAddress, РАЗМЕР, myProtect, &oldProtect); // назначаем защиту чтения и записи memcpy(pOrigMBAddress, oldBytes, РАЗМЕР); // восстановление резервной копии VirtualProtect((LPVOID)pOrigMBAddress, РАЗМЕР, oldProtect, &myProtect); // сброс защиты дело DLL_THREAD_ATTACH: дело DLL_THREAD_DETACH: перемена; } возвращаться ИСТИННЫЙ; } пустота BeginRedirect(LPVOID newFunction) { БАЙТ tempJMP[РАЗМЕР] = {0xE9, 0x90, 0x90, 0x90, 0x90, 0xC3}; // 0xE9 = JMP 0x90 = NOP 0xC3 = RET memcpy(JMP, tempJMP, РАЗМЕР); // сохраняем инструкцию jmp в JMP DWORD JMPSize = ((DWORD)newFunction - (DWORD)pOrigMBAddress - 5); // вычисляем расстояние прыжка VirtualProtect((LPVOID)pOrigMBAddress, РАЗМЕР, // назначаем защиту чтения и записи PAGE_EXECUTE_READWRITE, &oldProtect); memcpy(oldBytes, pOrigMBAddress, РАЗМЕР); // сделать резервную копию memcpy(&JMP[1], &JMPSize, 4); // заполняем nop расстоянием перехода (JMP, distance (4 байта), RET) memcpy(pOrigMBAddress, JMP, РАЗМЕР); // устанавливаем инструкцию перехода в начало исходной функции VirtualProtect((LPVOID)pOrigMBAddress, РАЗМЕР, oldProtect, &myProtect); // сброс защиты } int WINAPI MyMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uiType) { VirtualProtect((LPVOID)pOrigMBAddress, РАЗМЕР, myProtect, &oldProtect); // назначаем защиту чтения и записи memcpy(pOrigMBAddress, oldBytes, РАЗМЕР); // восстановление резервной копии int retValue = MessageBoxW(hWnd, lpText, lpCaption, uiType); // получить возвращаемое значение исходной функции memcpy(pOrigMBAddress, JMP, РАЗМЕР); // снова устанавливаем инструкцию перехода VirtualProtect((LPVOID)pOrigMBAddress, РАЗМЕР, oldProtect, &myProtect); // сброс защиты возвращаться retValue; // возвращаем исходное возвращаемое значение }
Крючок Netfilter
В этом примере показано, как использовать привязку для изменения сеть трафик в ядре Linux с использованием Netfilter.
#включают <linux/module.h>#включают <linux/kernel.h>#включают <linux/skbuff.h>#включают <linux/ip.h>#включают <linux/tcp.h>#включают <linux/in.h>#включают <linux/netfilter.h>#включают <linux/netfilter_ipv4.h>/ * Порт, на который мы хотим сбрасывать пакеты * /статический const uint16_t порт = 25;/ * Это сама функция перехвата * /статический беззнаковый int hook_func(беззнаковый int Hooknum, структура sk_buff **пскб, const структура net_device *в, const структура net_device *из, int (*окфн)(структура sk_buff *)){ структура iphdr *иф = ip_hdr(*пскб); структура tcphdr *tcph, tcpbuf; если (иф->протокол != IPPROTO_TCP) возвращаться NF_ACCEPT; tcph = skb_header_pointer(*пскб, ip_hdrlen(*пскб), размер(*tcph), &tcpbuf); если (tcph == НОЛЬ) возвращаться NF_ACCEPT; возвращаться (tcph->dest == порт) ? NF_DROP : NF_ACCEPT;}/ * Используется для регистрации нашей функции перехвата * /статический структура nf_hook_ops nfho = { .крюк = hook_func, .Hooknum = NF_IP_PRE_ROUTING, .ПФ = NFPROTO_IPV4, .приоритет = NF_IP_PRI_FIRST,};статический __в этом int my_init(пустота){ возвращаться nf_register_hook(&nfho);}статический __выход пустота my_exit(пустота){ nf_unregister_hook(&nfho);}module_init(my_init);module_exit(my_exit);
Внутренняя привязка IAT
Следующий код демонстрирует, как перехватить функции, импортированные из другого модуля. Его можно использовать для перехвата функций в процессе, отличном от вызывающего. Для этого код должен быть скомпилирован в DLL файл затем загружается в целевой процесс с использованием любого метода DLL-инъекция Преимущество этого метода в том, что он менее заметен антивирусное программное обеспечение и / или античит-программа, можно превратить это во внешний хук, который не использует никаких злонамеренных вызовов. В Переносимый исполняемый файл заголовок содержит Импортировать таблицу адресов (IAT), которым можно управлять, как показано в источнике ниже. Приведенный ниже источник работает под Microsoft Windows.
#включают <windows.h>typedef int(__stdcall *pMessageBoxA) (HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType); // Это «тип» вызова MessageBoxA.pMessageBoxA RealMessageBoxA; // Это сохранит указатель на исходную функцию.пустота Объезд(const char* функция, пустота* новая функция, HMODULE модуль);int __stdcall NewMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { // Наша фальшивая функция printf("Строка, отправленная в MessageBoxA, была:% s п", lpText); возвращаться RealMessageBoxA(hWnd, lpText, lpCaption, uType); // Вызов реальной функции}int главный(int argc, СИМВОЛ *argv[]) { Объезд("MessageBoxA",(пустота*)NewMessageBoxA,0); // Перехватываем функцию MessageBoxA(НОЛЬ, "Просто сообщение", "Просто сообщение", 0); // Вызов функции - это вызовет наш поддельный хук. возвращаться 0;}пустота **IATfind(const char *функция, HMODULE модуль) { // Находим запись IAT (таблица адресов импорта), специфичная для данной функции. int ip = 0; если (модуль == 0) модуль = GetModuleHandle(0); PIMAGE_DOS_HEADER pImgDosHeaders = (PIMAGE_DOS_HEADER)модуль; PIMAGE_NT_HEADERS pImgNTHeaders = (PIMAGE_NT_HEADERS)((LPBYTE)pImgDosHeaders + pImgDosHeaders->e_lfanew); PIMAGE_IMPORT_DESCRIPTOR pImgImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((LPBYTE)pImgDosHeaders + pImgNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); если (pImgDosHeaders->e_magic != IMAGE_DOS_SIGNATURE) printf("Ошибка libPE: e_magic не является действительной подписью DOS п"); за (IMAGE_IMPORT_DESCRIPTOR *iid = pImgImportDesc; iid->Имя != НОЛЬ; iid++) { за (int funcIdx = 0; *(funcIdx + (LPVOID*)(iid->FirstThunk + (SIZE_T)модуль)) != НОЛЬ; funcIdx++) { char *modFuncName = (char*)(*(funcIdx + (SIZE_T*)(iid->OriginalFirstThunk + (SIZE_T)модуль)) + (SIZE_T)модуль + 2); const uintptr_t nModFuncName = (uintptr_t)modFuncName; bool isString = !(nModFuncName & (размер(nModFuncName) == 4 ? 0x80000000 : 0x8000000000000000)); если (isString) { если (!_stricmp(функция, modFuncName)) возвращаться funcIdx + (LPVOID*)(iid->FirstThunk + (SIZE_T)модуль); } } } возвращаться 0;}пустота Объезд(const char *функция, пустота *новая функция, HMODULE модуль) { пустота **funcptr = IATfind(функция, модуль); если (*funcptr == новая функция) возвращаться; DWORD oldrights, новые права = PAGE_READWRITE; // Обновляем защиту до READWRITE VirtualProtect(funcptr, размер(LPVOID), новые права, &oldrights); RealMessageBoxA = (pMessageBoxA)*funcptr; // Некоторые компиляторы требуют приведение типа "MinGW" не уверены в MSVC *funcptr = новая функция; // Восстанавливаем старые флаги защиты памяти. VirtualProtect(funcptr, размер(LPVOID), oldrights, &новые права);}
Смотрите также
- Обратный звонок (информатика)
- Делегирование (программирование)
- Прекратить и остаться резидентом
- Выход пользователя
- WinAPIOverride32
Рекомендации
- ^ псифл [1]
- ^ Для получения дополнительной информации см. http://ntvalk.blogspot.nl/2013/11/hooking-explained-detouring-library.html
- Джонатан Дэниел (27 ноября 2013 г.). «Объяснение подключения: обход вызовов библиотек и исправление vtable в Windows / Linux / MAC-OSX». Получено 2014-01-01.
- Бинь Нгуен (16 августа 2004 г.). "Hacking-Lexicon / Linux Dictionary V 0.16". Получено 2008-02-23.
Крюк
- [2012-06-29: ссылка кажется мертвой] Автор: Святой Отец (10.06.2002). "Перехват API Windows - Техника перехвата функций API в Windows 1.1 русский" (PDF). Архивировано из оригинал (PDF) на 2009-12-29. Получено 2008-02-21.
внешняя ссылка
Windows
- Информация о перехвате функции импорта таблицы адресов.
- Информация от Microsoft о подключении
- Информация и различные методы, касающиеся подключения x86.
- APISpy32 это приложение, используемое для подключения Win32 API.
- Объезды - это библиотека перехвата функций общего назначения, созданная Microsoft Research и работающая на C / C ++.
- Winspy Три способа внедрения кода в другой процесс.
- HookTool SDK (ACF SDK) Предоставляет исчерпывающий обзор подключения API и внедрения кода. Также доступен коммерческий продукт.
- madCodeHook представляет собой коммерческую библиотеку подключения к API x86 и x64 и внедрения DLL для C ++ и Delphi.
- EasyHook - это механизм подключения с открытым исходным кодом, поддерживающий x86 и x64 в Windows как на уровне пользователя, так и на уровне ядра.
- Трассировка приложения SpyStudio SpyStudio - это средство отслеживания приложений, которое вызывает перехват, отображая результаты в структурированном виде.
- rohitab.com API Monitor - это бесплатное приложение, которое может подключать и отображать более 10 000 Windows API и COM-интерфейсов в 32-битных и 64-битных приложениях и службах.
- Крюк Deviare API Deviare - это бесплатная инфраструктура взаимодействия между процессами, которую можно использовать для перехвата вызовов API других процессов и отображения информации с полным параметром или создания мониторов API.
- WinAPIOverride WinAPIOverride - это бесплатная программа для некоммерческого использования. Он может подключать Win32 API, COM, OLE, ActiveX, .NET в 32-битных и 64-битных процессах. Он включает инструменты мониторинга и пост-анализа.
- urmem Кроссплатформенная библиотека C ++ 11 (x86) для работы с памятью (хуки, патчи, оболочка указателя, сканер сигнатур и т. Д.)
Linux
- [2] Студенческий исследовательский проект, в котором используется крючок.
- [3] Функциональность, которая позволяет программе наблюдать и контролировать выполнение другого процесса.
- [4] Использование LD_PRELOAD для перехвата вызовов разделяемой библиотеки.
Emacs
- Крючки Emacs Хуки - важный механизм настройки Emacs. Хук - это переменная Лиспа, которая содержит список функций, которые должны быть вызваны в каком-то четко определенном случае. (Это называется запуском ловушки.)
OS X и iOS
- Cydia Substrate - это платформа для взломанных устройств iOS, позволяющая разработчикам подключаться к любой другой платформе или приложению.
- гарпун - это библиотека OS X для перехвата функций времени выполнения.
Углубленный перехват API
- Демистификация перехвата API x86 Статья о различных методах перехвата API для архитектуры x86.