淺談API HOOK技術（一）

        APIHook一直是使大家感興趣的話題。螢幕取詞，内碼轉化，螢幕翻譯，中文平台等等都涉及到了此項技術。有很多文章涉及到了這項技術，但都閃爍其詞不肯明明白白的公布。我僅在這裡公布以下我用Delphi制作APIHook的一些心得。

       通常的APIHOOK有這樣幾種方法：

      1、自己寫一個動态連結庫，裡面定義自己寫的想取代系統的API。把這個動态連結庫映射到2G以上的系統動态連結庫所在空間，把系統動态連結庫中的該API的指向修改指向自己的函數。這種方法的好處就是可以取代系統中運作全部程式的該API。但他有個局限，就是隻适用于Win9x。（原因是NT中動态連結庫不是共享的，每個程序都有自己的一份動态連結庫在記憶體中的映射）

      2、自己寫一個動态連結庫，裡面定義自己寫得象替代系統的API。把這個動态連結庫映射到程序的空間裡。将該程序對API的調用指向自己寫的動态連結庫。這種方法的好處是可以選擇性的替代哪個程序的API。而且适用于所有的Windows作業系統。

      這裡我選用的是第二種方法。

      第二種方法需要先了解一點PE檔案格式的知識。

       首先是一個實模式的的DOS檔案頭，是為了保持和DOS的相容。

       接着是一個DOS的代理子產品。你在純DOS先運作Win32的可執行檔案，看看是不是也執行了，隻是顯示的的是一行資訊大意是說該Windows程式不能在DOS實模式下運作。

       然後才是真正意義上的Windows可執行檔案的檔案頭。它的具體位置不是每次都固定的。是由檔案偏移$3C決定的。我們要用到的就是它。

       如果我們在程式中調用了一個MessageBoxA函數那麼它的實作過程是這樣的。他先調用在本程序中的MessageBoxA函數然後才跳到動态連結庫的MessageBoxA的入口點。即：

       call messageBoxA(0040106c)

       jmp dword ptr [[email protected](00425294)]

其中00425294的内容存儲的就是就是MessageBoxA函數的入口位址。如果我們做一下手腳，那麼......

      那就開始吧！

我們需要定義兩個結構

type

   PImage_Import_Entry = ^Image_Import_Entry;

   Image_Import_Entry = record

      Characteristics: DWORD;

      TimeDateStamp: DWORD;

      MajorVersion: Word;

      MinorVersion: Word;

      Name: DWORD;

      LookupTable: DWORD;

   end;

type

   TImportCode = packed record

      JumpInstruction: Word; file: //定義跳轉指令jmp

      AddressOfPointerToFunction: ^Pointer; file: //定義要跳轉到的函數

   end;

   PImportCode = ^TImportCode;

然後是确定函數的位址。

function LocateFunctionAddress(Code: Pointer): Pointer;

var

   func: PImportCode;

begin

   Result := Code;

   if Code = nil then exit;

   try

      func := code;

      if (func.JumpInstruction = $25FF) then

      begin

         Result := func.AddressOfPointerToFunction^;

      end;

   except

      Result := nil;

   end;

end;

參數Code是函數在程序中的指針，即那條Jmp XXX的指令。$25FF就是跳轉指令的機器碼。

再下一篇我會講如何替換下那個XXX的内容，讓他跳到你想去的地方。