Вопрос 5. Методы организации перехвата АРI функций в ОС Windows .


Добавил:DMT
Дата создания:30 декабря 2007, 18:57
Дата обновления:30 декабря 2007, 18:57
Просмотров:6406 последний сегодня, 5:17
Комментариев: 2

Вопрос 5. Методы организации перехвата АРI функций в ОС Windows.

up

Комментарии для "Вопрос 5. Методы организации перехвата АРI функций в ОС Windows ."


Пользователь: ruslan
Сообщений: 23
Статус: Незримый
Зарегистрирован:
5 января 2008, 2:42
Был:29 января 2008, 21:23
ruslan
smsup
Дата: 8 января 2008, 13:55 Сообщение № 1

Методы организации перехвата АРI функций в ОС Windows



Перехват системной функции API заключается в изменении некоторого адреса в памяти процесса или некоторого кода в теле функции таким образом, чтобы при вызове это самой API функции управление передавалось не ей, а вашей функции – подменяющей системную. Эта функция, взамен системной, выполняет какие-то, запланированные вами, действия и затем, в зависимости от вашего желания, либо вызывает оригинальную функцию либо не вызывает ее вообще.

Рассмотрим два метода перехвата API функций:
1) Непосредственная запись в код функции.
2) Подмена адреса функции в таблице импорта.

Метод 1. Перехват API непосредственной записью в код системной функции


Прием заключается в том, чтобы в начало перехватываемой функции записать команду jmp ваша_функция_двойник или эквивалентную ей. Затираемые байты желательно где-нибудь сохранить. После вызова исправленной функции приложением, управление будет передано вашей функции. Она должна корректно обработать стек, то есть извлечь переданные ей параметры. Сделать необходимые вам действия. Затем, если вы собираетесь вызывать оригинальную функцию необходимо восстановить затертые байты в начале оригинальной функции. Вызвать ее, передав ей все необходимые параметры. После возврата из оригинальной функции, необходимо снова в начало записать команду перехода на вашу функцию. Вернуть управление вызвавшей программе.

Достоинство данного метода состоит в том, что он позволяет перехватывать любые функции, а не только те, которые указаны в таблице импорта.

Недостаток: в многопоточных приложениях может случиться такая ситуация, когда один поток вызвал перехваченную вами функцию, управление было передано вашей функции-двойнику, она восстановила оригинальное начало функции и в этот момент, параллельно выполняющийся поток произвел вызов той же функции. В результате управление будет передано сразу оригинальной функции, минуя вашу.

Пример программы (в виде DLL файла), перехватывающей функцию MessageBoxA методом 1.
Код на C++
  1. #include "stdafx.h"
  2. //Структура, содержащая код дальнего перехода на фукцию-двойник
  3. struct jmp_far
  4. {
  5. BYTE instr_push; //здесь будет код инструкции push
  6. DWORD arg; //аргумент push
  7. BYTE instr_ret; //здесь будет код инструкции ret
  8. };
  9. BYTE old[6];
  10. //область для хранения 6-ти затираемых байт начала функции
  11. DWORD adr_MessageBoxA //будущий адрес оригинальной функции
  12. DWORD written; //вспомогательная переменная
  13. jmp_far jump;
  14. //здесь будет машинный код инструкции перехода
  15. BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved )
  16. {
  17. if(ul_reason_for_call = = DLL_PROCESS_ATTACH )
  18. {
  19. InterceptFunctions();
  20. }
  21. return TRUE;
  22. }
  23. void InterceptFunctions(void)
  24. {
  25. DWORD op;
  26. //сначала получим абсолютный адрес функции для перехвата
  27. adr_MessageBoxA = (DWORD)GetProcAddress(
  28. GetModuleHandle("user32.dll"), "MessageBoxA");
  29. if(adr_MessageBoxA == 0)
  30. {
  31. MessageBox(NULL, "Can`t get adr_MessageBoxA", "Error!", 0);
  32. return;
  33. }
  34. //Зададим машинный код инструкции перехода, который мы затем
  35. впишем в начало
  36. //полученного адреса:
  37. jump.instr_push = 0x68;
  38. jump.arg = (DWORD)&Intercept_MessageBoxA;
  39. jump.instr_ret = 0xC3;
  40. //Прочитаем и сохраним первые оригинальные 6 байт стандартной
  41. API функции
  42. ReadProcessMemory(GetCurrentProcess(),(void*) adr_MessageBoxA,
  43. (void*)&old, 6, &written);
  44. //Запишем команду перехода на нашу функцию поверх этих 6-ти байт
  45. WriteProcessMemory(GetCurrentProcess(), (void*)adr_MessageBoxA,
  46. (void*)&jump, sizeof(jmp_far), &written);
  47. }
  48. //данное определение аналогично __srtdcall
  49. BOOL WINAPI Intercept_MessageBoxA(HWND hwnd, char *text, char
  50. *hdr, UINT utype)
  51. {
  52. //Сначала восстанавливаем 6 первых байт функции
  53. WriteProcessMemory(GetCurrentProcess(), (void*)adr_MessageBoxA,
  54. (void*)&old, 6, &written);
  55. //Здесь вы можете выполнить любые действия
  56. char *str = "Hi From MessageBOX!!!!";
  57. //Вызываем оригинальную функцию через указатель
  58. ((BOOL (__stdcall*)(HWND, char*, char*, UINT))adr_MessageBoxA)
  59. (hwnd, str, hdr, utype);
  60. //Снова заменяем 6 байт функции на команду перехода на нашу
  61. функцию
  62. WriteProcessMemory(GetCurrentProcess(), (void*)adr_MessageBoxA,
  63. (void*)&jump, 6,&written);
  64. return TRUE;
  65. }
При использовании обязательна ссылка на http://DMTSoft.ru


Метод 2. Перехват API через таблицу импорта.


Прием заключается в замене адреса функции в таблице импорта на адрес функции-двойника. Для понимания данного метода потребуется знание формата PE исполняемых файлов Windows. Как известно, большинство приложений вызывает функции из dll через таблицу импорта, представляющую собой после загрузки exe файла в память списки адресов функций, импортируемых из различных Dll. Откомпилированный вызов функции через таблицу импорта выглядит следующим образом:

Call dword ptr[address_of_function]

Здесь address_of_function – адрес в таблице импорта, по которому находится адрес вызываемой функции.

При перехвате API через таблицу импорта надо:
- найти в таблице импорта элемент IMAGE_IMPORT_DESCRIPTOR, соответствующий той DLL, из которой импортирована функция;
- узнать адрес перехватываемой функции при помощи GetProcAddress;
- перебирая элементы массива, на который указывает поле FirstThunk найти адрес перехватываемой функции;
- запомнить этот адрес где-нибудь и записать на его место адрес функции-двойника.

Теперь, при вызове подмененной функции вначале будет вызываться функция-двойник, а за тем она может вызвать оригинальную функцию, или не вызывать ее вообще.

Достоинство данного метода в том, что он корректно будет работать в многопоточном приложении, когда несколько потоков одновременно вызывают подмененную функцию. Так же данный метод будет работать в ОС WINDOWS 9.x.

Недостатки – не все функции вызываются через таблицу импорта.

Пример программы (в виде DLL файла), перехватывающей функцию MessageBoxA методом 2.

Код на C++
  1. #include "stdafx.h"
  2. DWORD adr_MessageBoxA;
  3. BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call,
  4. LPVOID lpReserved )
  5. {
  6. if(ul_reason_for_call == DLL_PROCESS_ATTACH )
  7. {
  8. InterceptFunctions();
  9. }
  10. return TRUE;
  11. }
  12. //Эта функция ищет в таблице импорта -
  13. //.idata нужный адрес и заменяет на адрес процедуры-двойника
  14. void InterceptFunctions(void)
  15. {
  16. //начало отображения в памяти процесса
  17. BYTE *pimage = (BYTE*)GetModuleHandle(NULL);
  18. BYTE *pidata;
  19. //стандартные структуры описания PE заголовка
  20. IMAGE_DOS_HEADER *idh;
  21. IMAGE_OPTIONAL_HEADER *ioh;
  22. IMAGE_SECTION_HEADER *ish;
  23. IMAGE_IMPORT_DESCRIPTOR *iid;
  24. DWORD *isd; //image_thunk_data dword
  25. //получаем указатели на стандартные структуры данных
  26. //PE заголовка
  27. idh = (IMAGE_DOS_HEADER*)pimage;
  28. ioh = (IMAGE_OPTIONAL_HEADER*)(pimage + idh->e_lfanew + 4 +
  29. sizeof(IMAGE_FILE_HEADER));
  30. ish = (IMAGE_SECTION_HEADER*)((BYTE*)ioh +
  31. sizeof(IMAGE_OPTIONAL_HEADER));
  32. //если не обнаружен магический код, то у этой программы нет PE
  33. //заголовка
  34. if (idh->e_magic != 0x5A4D) {
  35. MessageBox(NULL, "Not exe hdr", "Error!", 0);
  36. return;
  37. }
  38. //ищем секцию .idata
  39. for(int i=0; i<16; i++)
  40. if(strcmp((char*)((ish+ i)->Name) , ".idata") == 0) break;
  41. if(i==16) {
  42. Merror("Unable to find .idata section");
  43. return;
  44. }
  45. //получаем адрес секции .idata(первого элемента IMAGE_IMPORT_DESCRIPTOR)
  46. iid = (IMAGE_IMPORT_DESCRIPTOR*)(pimage + (ish +i)->VirtualAddress );
  47. //получаем абсолютный адрес функции для перехвата
  48. adr_MessageBoxA = (DWORD)GetProcAddress(GetModuleHandle(
  49. "user32.dll"), "MessageBoxA");
  50. if(adr_MessageBoxA == 0) {
  51. MessageBox(NULL, "Can`t get addr_MessageBoxA", "Error!", 0);
  52. return;
  53. }
  54. //в таблице импорта ищем соответствующий элемент для библиотеки user32.dll
  55. while(iid->Name)
  56. //до тех пор пока поле сруктуры не содержит 0
  57. {
  58. if(strcmp((char*)(pimage + iid->Name), "USER32.dll") ==0 )
  59. break;
  60. iid++;
  61. }
  62. //ищем в IMAGE_THUNK_DATA нужный адрес
  63. isd = (DWORD*)(pimage + iid->FirstThunk);
  64. while(*isd!=adr_MessageBoxA && *isd!=0) isd++;
  65. if(*isd == 0) {
  66. MessageBox(NULL, "adr_MessageBoxA not found in .idata",
  67. "Error!", 0);
  68. return;
  69. }
  70. //заменяем адрес на свою функцию
  71. DWORD buf = (DWORD)&Intercept_MessageBoxA;
  72. DWORD op;
  73. //обычно страницы в этой области недоступны для записи поэтому
  74. принудительно разрешаем запись
  75. VirtualProtect((void*)(isd),4,PAGE_READWRITE, &op);
  76. //пишем новый адрес
  77. WriteProcessMemory(GetCurrentProcess(), (void*)(isd), (void*)
  78. &buf,4,&written);
  79. //восстанавливаем первоначальную защиту области по записи
  80. VirtualProtect((void*)(isd),4,op, &op);
  81. //если записать не удалось
  82. if(written!=4) {
  83. MessageBox(NULL, "Unable rewrite address", "Error!", 0);
  84. return;
  85. }
  86. }
  87. BOOL WINAPI Intercept_MessageBoxA(HWND hwnd, char *text,
  88. char *hdr, UINT utype)
  89. {
  90. //здесь можно выполнить любые действия
  91. char *str = "Hi From MessageBOX!!!!";
  92. // вызываем оригинальную функцию через указатель
  93. ((BOOL (__stdcall*)(HWND, char*, char*, UINT))adr_MessageBoxA)
  94. (hwnd, str, hdr, utype);
  95. return TRUE;
  96. }
  97.  
При использовании обязательна ссылка на http://DMTSoft.ru