BasicBit HomeArchivesDevelopNoteReverseOS
Inline Hook

Inline 原理与流程

Inline hook 就是在运行的流程中插入跳转指令(call/jmp)来抢夺程序运行流程的一个方法。

在编程中我们常用if else或其他语句来控制程序的流程,而在汇编中使用的是cmp和jmp等指令,

cmp是比较,jmp是无条件跳转。

jmp指令后面跟随一个地址,像这样:jmp 0x1234567

inline hook中用到的就是jmp指令,在c中的函数编译之后函数名实际上就是地址,也就是函数所在的内存位置,假设我们想hook一个函数,就跳转到这个函数的首地址,将他的第一条指令修改为jmp指令,这将会覆盖函数原本存在的指令,jmp的地址就是我们自己写的函数。

在执行我们自己写的函数之后,先执行函数中被我们(jmp)覆盖的指令之后,再次调用jmp指令,跳转回去hook之前的代码中执行,不要忘记备份寄存器。

需要注意的地方

  1. inline hook 的一般流程:
    源程序流 -> jmpIn -> 保存寄存器 -> 具体处理 -> 恢复寄存器 -> jmpOut -> 源程序流
    ​ 被跳转指令覆盖的代码可以在 jmpIn之后 或者 jmpOut之前
  2. 被覆盖的指令大小和大于等于5,因为我们要塞进去5个字节(0xE9 + Address)。只要你处理跳转指令覆盖的指令,理论上可以 inline hook 函数中的任意位置。
  3. x86函数调用的开头一般都是下面这个样子的,能很方便的 inline hook
plaintext
1
2
3
mov    edi, edi
push    ebp
mov    ebp, esp

jmp 公式:

高地址向低地址跳 – 向前跳:

E9指令地址(4011d2)减去跳转指令地址(401000)

等于偏移大小,偏移大小取反,加一,减五,就是

E9后面的偏移地址

低地址向高地址跳 – 向后跳:

跳转指令地址(4011C1)减去E9偏移地址(401040)

等于偏移大小,偏移大小减五,就是E9后面的偏移地址

Inline Hook实例分析:

c++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
#include "stdafx.h"
 
 
__declspec(naked) int add(int a, int b)
{
  __asm 
  {
    mov    edi, edi
    push    ebp
    mov    ebp, esp
 
    sub    esp, 8
    mov    eax, [ebp + 0x08]
    mov    [ebp - 4], eax
    mov    eax, [ebp + 0x0C]
    mov    [ebp - 8], eax
 
    mov    eax, [ebp - 4]
    add    eax, [ebp - 8]
 
    mov    esp, ebp
    pop    ebp
    ret
  }
}
 
 
__declspec(naked) void hookProxy()
{
  // moved bytes
  __asm 
  {
    nop
    nop
    nop
    nop
    nop
  }
 
  // save regs
  //   __asm
  //   {
  //     pushad
  //     pushfd
  //   }
 
 
  // do something (or call specific function.)
  __asm
  {
    add [esp + 0x08], 1
    add [esp + 0x0C], 1
  }
 
  // store old regs
  //   __asm
  //   {
  //     popfd
  //     popad
  //   }
 
  // jump back code
  __asm 
  {
    nop
    nop
    nop
    nop
    nop
  }
}
 
 
void inlineHook()
{
  char* pMovedBytes = &((char*)hookProxy)[0];
  char* pJmpBackCode = &((char*)hookProxy)[0xF];
 
  // move old bytes
  memcpy((char*)hookProxy, (char*)add, 5);
   
  // fill jump in code
  char jmpInBuffer[5];
  jmpInBuffer[0] = 0xE9;
 
  int* pJmpInOffset = (int*)&jmpInBuffer[1];
  *pJmpInOffset = (char*)hookProxy - ((char*)add + 5);
 
  memcpy((char*)add, jmpInBuffer, 5);
 
  // fill jump out code
  char jmpOutBuffer[5];
  jmpOutBuffer[0] = 0xE9;
 
  int* pJmpOutOffset = (int*)&jmpOutBuffer[1];
  *pJmpOutOffset = ((char*)add + 5) - ((char*)pJmpBackCode + 5);
  memcpy(pJmpBackCode, jmpOutBuffer, 5);
}
 
 
int _tmain(int argc, _TCHAR* argv[])
{
  _asm int 3;
 
  DWORD oldProtect;
  if( VirtualProtect((LPVOID)add, 4096, PAGE_EXECUTE_READWRITE, &oldProtect) )
  {
    inlineHook();
  }
 
  printf("result = %d \n", add(1, 2));
 
  system("pause");
  return 0;
}

解析过程

  1. 把Add函数的前5个字节搬到了 hookProxy的前5个字节。

  2. 然后再 Add函数的前5个字节填充跳转到 hookProxy 的跳转指令

  3. 在hookProxy的末尾5个字节填充跳转回 Add函数 + 5 的跳转指令

  4. 原本 Add 函数的结构是3,被 hook 之后会变成 5

有兴趣的读者可以上机调试一番

Author: BarretGuy
Link: https://basicbit.cn/2018/01/16/2018-11-18-Inline Hook/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.