Windows下32位程序的Inline Hook

话不多说，首先贴代码，代码主体参考自一本关于黑客技术的书，书名给忘了。

当时只是敲出来跟着用，也没有深入理解，最近再看，才发现一些原理。

Inline Hook的好处就是可以获取被Hook函数的参数，我们可以自行处理这些数据，再调用本来的Hook函数。

#include <stdio.h>
#include <windows.h>
#include<iostream>
using namespace std;
class MyHook
{
public:
    MyHook()
    {
        funcAddr = NULL;
        ZeroMemory(oldBytes,5);
        ZeroMemory(newBytes,5);
    }
    ~MyHook()
    {
        UnHook();
        funcAddr = NULL;
        ZeroMemory(oldBytes,5);
        ZeroMemory(newBytes,5);
    }
    /*
     *Hook的模块名称，Hook的API函数名称，钩子函数地址
    */
    WINBOOL Hook(LPSTR ModuleName, LPSTR FuncName, PROC HookFunc)
    {
        BOOL bRet = FALSE;
        funcAddr = (PROC)GetProcAddress(GetModuleHandleA(ModuleName),FuncName);
        cout<<funcAddr<<endl;
        if(funcAddr!=NULL)
        {
            DWORD num = 0;
            ReadProcessMemory(GetCurrentProcess(),(void*)funcAddr,oldBytes,5,&num);
            newBytes[0] = 0xe9;
            *(DWORD *)(newBytes + 1) = (DWORD)HookFunc - (DWORD)funcAddr - 5;
            WriteProcessMemory(GetCurrentProcess(),(void*)funcAddr,newBytes,5,&num);
            bRet = TRUE;
        }
        return bRet;
    }
    void UnHook()
    {
        if(funcAddr!=0)
        {
                DWORD num = 0;
                WriteProcessMemory(GetCurrentProcess(),(void*)funcAddr,oldBytes,5,&num);
        }
    }
    WINBOOL ReHook()
    {
        BOOL ret = FALSE;
        if(funcAddr!=0)
        {
            DWORD num;
            WriteProcessMemory(GetCurrentProcess(),(void*)funcAddr,newBytes,5,&num);
            ret = TRUE;
        }
        return ret;
    }

private:
    PROC funcAddr;
    BYTE oldBytes[5];
    BYTE newBytes[5];
};

MyHook hook;
int WINAPI MyMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT type)
{
    hook.UnHook();
    MessageBox(hWnd,"Hook流程",lpCaption,type);
    MessageBox(hWnd,lpText,lpCaption,type);
    hook.ReHook();
    return 0;
}
int main()
{
    MessageBox(NULL,"正常流程1","test",MB_OK);
    hook.Hook((LPSTR)"User32.dll",(LPSTR)"MessageBoxA",(PROC)&MyMessageBoxA);
    MessageBox(NULL,"被Hook了1","test",MB_OK);
//    MessageBox(NULL,"被Hook了2","test",MB_OK);
    hook.UnHook();
//    MessageBox(NULL,"正常流程2","test",MB_OK); 
}

既不解释代码含义，也不解释Win32 API。需要注意的就是以下两点。

 首先来看图

为什么是0xe9？
0xe9代表jmp指令。
但是图上不是EB吗？
因为平时使用OD这样的调试工具，大多数情况下修改跳转，把jne之类的修改成jmp，
都是修改成了EB，久而久之，就忘了，jmp有好几种跳转方式，这种修改应该是属于直接跳转。
Jmp short.（说是short，实际上是一个带符号的字节范围 -128~127）。
如图所示，地址0x00401200 和0x00401216,有着0x14个字节的指令，这就是直接跳转。
1个字节，肯定不够我们跳转的，所以这里要用的是第2种跳转方式。再看另一副图

从地址0x0041c3c1跳转到0x41c2ae，用的是E9 e8feffff
因为32位下jmp远跳一共用了5字节的内存。
E9 是jmp ，对应代码中的第一处
剩下4字节保存的是 目的地址-起始地址-指令长度，对应代码中的第二处
所以才有 0x41c2ae-0x41c3c1-5 = FFFFFEE8 。因为内存里面是小端，所以显示出来就是E8FEFFFF。

一种比较好的测试方案，就是使用OD调试以上代码，ctrl+g跳转到MessageBoxA的地址处，看看随着代码的运行，该地址处的指令如何变化。