Debug Hook

• 命名

  关于这个命名是我自己这样说的，至于这种HOOK技术，先前在一个开源项目中叫做RemoteHook，我比较喜欢自己的这种命名，所以就叫Debug Hook。如果有错误，请指出。

• 先来说说调试的原理

  在Windows操作系统，有两种方法可以来调试一个进程。

  1: CreateProcess（）

  可以使用此函数来启动调试一个进程。

  CreateProcess(FileFullPath,NULL,NULL,NULL, false,DEBUG_PROCESS         |DEBUG_ONLY_THIS_PROCESS| CREATE_NEW_CONSOLE,
  NULL,NULL,&StartupInfo,&ProcessInfo) 
      

  2:DebugActiveProcess（ProcessID）

   可以使用此函数来附加到一个进程来进行调试。

  我们使用以上两种方法中的任何一种方法来调试一个进程，每当被调试进程发生调试事件的时候，OS都会暂停其运行。并向调试器报告相应的事件，调试器处理之后就可以继续运行。

• 利用调试技术来HOOK API函数的相关步骤如下

  利用调试技术来HOOK API函数的相关步骤如下

  1对想要钩取的进程进行附加操作，使之成为被调试者。

  2将要钩取的API的起始地址的第一个字节修改为0xcc(或者使用硬件断点)。

  3当调用目标API的时候，控制权就转移到调试器进程。

  4执行需要的操作。

  5脱钩，将API 函数的第一个字节恢复。

  6运行相应的API。

  #include<Windows.h>
  #include<iostream>
  #include<stdio.h>
  
  using namespace std;
  
  LPVOID WriteFileAddress = NULL;
  CREATE_PROCESS_DEBUG_INFO CreateProcessDebugInfomation;
  BYTE INT3 = 0xCC, OldByte = 0;
  
  BOOL OnCreateProcessDebugEvent(LPDEBUG_EVENT pde)
  {
      // WriteFile()函数地址
      WriteFileAddress = GetProcAddress(GetModuleHandleA("kernel32.dll"), "WriteFile");
  
      // API Hook - WriteFile()
      //将WriteFile函数的首个字节改为0xcc
      memcpy(&CreateProcessDebugInfomation, &pde->u.CreateProcessInfo, sizeof(CREATE_PROCESS_DEBUG_INFO));
      ReadProcessMemory(CreateProcessDebugInfomation.hProcess, WriteFileAddress,
                        &OldByte, sizeof(BYTE), NULL);
      WriteProcessMemory(CreateProcessDebugInfomation.hProcess, WriteFileAddress,
                         &INT3, sizeof(BYTE), NULL);
  
      return TRUE;
  }
  
  BOOL OnExceptionDebugEvent(LPDEBUG_EVENT pDebugEvent)
  {
      CONTEXT Context;
      PBYTE lpBuffer = NULL;
      DWORD dwNumOfBytesToWrite, dwAddrOfBuffer, i;
      PEXCEPTION_RECORD pExceptionRecord = &pDebugEvent->u.Exception.ExceptionRecord;
  
      // BreakPoint exception 
      if( EXCEPTION_BREAKPOINT == pExceptionRecord->ExceptionCode )
      {
          // 发生异常的地方是否为我们要钩取的函数
          if( WriteFileAddress == pExceptionRecord->ExceptionAddress )
          {
              // #1. Unhook
              //   先恢复，以免进入死循环
              WriteProcessMemory(CreateProcessDebugInfomation.hProcess, WriteFileAddress,
                                 &OldByte, sizeof(BYTE), NULL);
  
              // #2. 获得线程上下背景文  为了修改EIp的值，来使进程恢复正常运行
              Context.ContextFlags = CONTEXT_CONTROL;
              GetThreadContext(CreateProcessDebugInfomation.hThread, &Context);
  
              // #3. WriteFile() 根据ESP来获得WriteFile 函数的参数，以达到修改数据的目的
             
              ReadProcessMemory(CreateProcessDebugInfomation.hProcess, (LPVOID)(Context.Esp + 0x8),
                                &dwAddrOfBuffer, sizeof(DWORD), NULL);
  
              ReadProcessMemory(CreateProcessDebugInfomation.hProcess, (LPVOID)(Context.Esp + 0xC),
                                &dwNumOfBytesToWrite, sizeof(DWORD), NULL);
  
              // #4.
              lpBuffer = (PBYTE)malloc(dwNumOfBytesToWrite+1);
              memset(lpBuffer, 0, dwNumOfBytesToWrite+1);
  
              // #5. WriteFile() 
              ReadProcessMemory(CreateProcessDebugInfomation.hProcess, (LPVOID)dwAddrOfBuffer,
                                lpBuffer, dwNumOfBytesToWrite, NULL);
              printf("
  ### original string ###
  %s
  ", lpBuffer);
  
              // #6. 修改数据
              for( i = 0; i < dwNumOfBytesToWrite; i++ )
              {
                  if( 0x61 <= lpBuffer[i] && lpBuffer[i] <= 0x7A )
                      lpBuffer[i] -= 0x20;
              }
  
              printf("
  ### converted string ###
  %s
  ", lpBuffer);
  
              // #7. 调用原函数
              WriteProcessMemory(CreateProcessDebugInfomation.hProcess, (LPVOID)dwAddrOfBuffer,
                                 lpBuffer, dwNumOfBytesToWrite, NULL);
              
             
              free(lpBuffer);
  
              // 设置EIP的值来实现正常运行，注意EIP的值为0xcc的下一条指令的地址。
              Context.Eip = (DWORD)WriteFileAddress;
              SetThreadContext(CreateProcessDebugInfomation.hThread, &Context);
  
              // 运行
              ContinueDebugEvent(pDebugEvent->dwProcessId, pDebugEvent->dwThreadId, DBG_CONTINUE);
              Sleep(0);
  
              // 再次钩取
              WriteProcessMemory(CreateProcessDebugInfomation.hProcess, WriteFileAddress,
                                 &INT3, sizeof(BYTE), NULL);
  
              return TRUE;
          }
      }
  
      return FALSE;
  }
  
  void DebugLoop()
  {
      DEBUG_EVENT DebugEvent;
      DWORD dwContinueStatus;
  
      // 等待调试事件
      while( WaitForDebugEvent(&DebugEvent, INFINITE) )
      {
          dwContinueStatus = DBG_CONTINUE;
  
          // 调试事件为创建进程
          if( CREATE_PROCESS_DEBUG_EVENT == DebugEvent.dwDebugEventCode )
          {
              OnCreateProcessDebugEvent(&DebugEvent);
          }
          // 调试事件
          else if( EXCEPTION_DEBUG_EVENT == DebugEvent.dwDebugEventCode )
          {
              if( OnExceptionDebugEvent(&DebugEvent) )
                  continue;
          }
          // 调试进程退出
          else if( EXIT_PROCESS_DEBUG_EVENT == DebugEvent.dwDebugEventCode )
          {
            
              break;
          }
  
        
          ContinueDebugEvent(DebugEvent.dwProcessId, DebugEvent.dwThreadId, dwContinueStatus);
      }
  }
  
  int main(int argc, char* argv[])
  {
      DWORD dwProcessID;
      cout << "Input ProcessID" << endl;
      cin >> dwProcessID;
  
      // Attach Process
      
      if( !DebugActiveProcess(dwProcessID) )
      {
          printf("DebugActiveProcess(%d) failed!!!
  "
                 "Error Code = %d
  ", dwProcessID, GetLastError());
          return 1;
      }
  
      // 调试事件循环
      DebugLoop();
  
      return 0;
  }

  参考《逆向工程核心原理》