火山视窗EAT_HOOK源码分享 支持32和64

乐易论坛

火山视窗EAT_HOOK源码分享 支持32和64
https://www.leybc.cn/thread-597-1-1.html
(出处: 火山编程教程培训交流论坛-乐易网络)

EAT（Export Address Table）用于修改动态链接库（DLL）中导出函数的调用。与IAT Hook不同，EAT Hook是在DLL自身中进行钩子操作，而不是修改应用程序的导入表。它的原理是通过修改DLL的导出函数地址，将原本要导出的函数指向另一个自定义的函数。这样，在应用程序调用DLL的导出函数时，实际上会执行自定义的函数。

EAT Hook的步骤通常包括以下几个步骤：

获取目标DLL的基址：通过模块加载和遍历PE文件的导出表，找到目标DLL的基址。
定位导出函数：根据导出函数的名称或序号，在导出表中找到目标函数的位置。
保存原始函数地址：将目标函数的地址保存下来，以便后续恢复。
修改导出函数地址：将目标函数在导出表中对应的地址修改为自定义函数的地址。
实现自定义函数：编写自定义的函数，该函数会在被钩子函数被调用时执行。
调用原始函数：在自定义函数中，可以选择是否调用原始的被钩子函数。
与IAT不同是EAT存放的不是函数地址，而是导出函数地址的偏移，使用时需要加上指定Dll的模块基地址，当Hook挂钩之后，所有试图通过导出表获取函数地址的行为都会受到影响，EATHook并不会直接生效，它只能影响Hook之后对该函数地址的获取。

实现导出表劫持的详细流程如下所示：

首先获取到DOS头，并加上偏移得到NT头，再通过Nt头得到数据目录表基地址。
数据目录表DataDirectory中的第0个成员指向导出表的首地址，直接拿到导出表的虚拟地址。
循环查找导出表的导出函数是否与我们的函数名称一致，一致则取出导出函数地址。
设置导出函数位置读写属性，将新的导出函数地址写入到该位置

1. <火山程序 类型 = "通常" 版本 = 1 />
   
2. 
   
3. 类 类_EATHOOK <公开 注释 = "EATHOOK类" 折叠 @输出名 = "L_EATHOOK"
   
4.         @视窗.外部头文件 = "<windows.h>\r\n<cstdio>\r\n<psapi.h>\r\n<type_traits>">
   
5. {
   
6.     变量 集_跳板函数 <类型 = 变整数>
   
7. 
   
8.     #
   
9.     # @begin
   
10.     # // 根据架构选择正确的NT头结构
    
11.     # #ifdef _WIN64
    
12.     # using PIMAGE_NT_HEADERS_EX = PIMAGE_NT_HEADERS64;
    
13.     # using PIMAGE_OPTIONAL_HEADER_EX = PIMAGE_OPTIONAL_HEADER64;
    
14.     # // DWORD IMAGE_ORDINAL_FLAG = IMAGE_ORDINAL_FLAG64;
    
15.     # #else
    
16.     # using PIMAGE_NT_HEADERS_EX = PIMAGE_NT_HEADERS32;
    
17.     # using PIMAGE_OPTIONAL_HEADER_EX = PIMAGE_OPTIONAL_HEADER32;
    
18.     # //constexpr DWORD IMAGE_ORDINAL_FLAG = IMAGE_ORDINAL_FLAG32;
    
19.     # #endif
    
20.     # struct HookContext {
    
21.     #     DWORD_PTR* pFuncAddress;  // 导出表中函数地址的指针
    
22.     #     DWORD_PTR originalRva;    // 原始RVA值
    
23.     #     HMODULE hModule;          // 模块基址
    
24.     # };
    
25.     # HookContext g_hookContext;
    
26.     # INT_P oldFunc = 0;
    
27.     # // 原始函数指针类型
    
28.     # @end
    
29. 
    
30.     方法 写入长JMP <类型 = 字节集类 折叠>
    
31.     参数 目标地址 <类型 = 变整数>
    
32.     {
    
33.         变量 局_代码 <类型 = 字节集类>
    
34.         局_代码 = 创建字节集 (0xFF, 0x25, 0x0, 0x0, 0x0, 0x0)
    
35.         局_代码.添加字节集 (到字节集 (目标地址))
    
36.         返回 (局_代码)
    
37.     }
    
38. 
    
39.     方法 申请附近的内存 <类型 = 变整数 折叠 "">
    
40.     参数 参_开始地址 <类型 = 变整数>
    
41.     参数 参_大小 <类型 = 整数>
    
42.     参数 参_是否附近 <类型 = 逻辑型 @默认值 = 真>
    
43.     {
    
44.         变量 局_申请的地址 <类型 = 变整数>
    
45.         变量 局_指针 <类型 = 变整数>
    
46.         局_指针 = 参_开始地址
    
47.         循环判断首 ()
    
48.         {
    
49.             如果 (参_是否附近)
    
50.             {
    
51.                 @ @<局_申请的地址> = (INT_P)VirtualAlloc((LPVOID)@<局_指针>, @<参_大小>, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    
52.             }
    
53.             否则
    
54.             {
    
55.                 @ @<局_申请的地址> = (INT_P)VirtualAlloc(NULL, @<参_大小>, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    
56.             }
    
57.             变量 局_方向 <类型 = 字节 值 = 0>
    
58.             变量 局_增加量 <类型 = 变整数>
    
59. 
    
60.             如果 (局_申请的地址 == 0)  // 申请附近的内存失败了
    
61.             {
    
62.                 如果 (局_方向 == 0)
    
63.                 {
    
64.                     如果 (参_开始地址 + 2147483642 >= 局_指针)  // 不能跳转了 2147483647-5
    
65.                     {
    
66.                         局_增加量 = 局_增加量 + 10240
    
67.                     }
    
68.                     否则
    
69.                     {
    
70.                         局_增加量 = 0
    
71.                         局_方向 = 1
    
72.                     }
    
73.                 }
    
74.                 否则
    
75.                 {
    
76.                     如果 (参_开始地址 - 2147483642 >= 局_指针)  // 不能跳转了 2147483647-5
    
77.                     {
    
78.                         局_增加量 = 局_增加量 - 10240
    
79.                     }
    
80.                     否则
    
81.                     {
    
82.                         返回 (0)
    
83.                     }
    
84.                 }
    
85.                 局_指针 = 局_指针 + 局_增加量
    
86.             }
    
87. 
    
88.         }
    
89.         循环判断尾 (局_申请的地址 == 0)
    
90. 
    
91.         返回 (局_申请的地址)
    
92.     }
    
93. 
    
94.     方法 开始HOOK <公开 类型 = 逻辑型 折叠 @输出名 = "StartHook" @禁止流程检查 = 真>
    
95.     参数 参_DLL名字 <类型 = 文本型 @输出名 = "wDll">
    
96.     参数 参_函数名 <类型 = 文本型 @输出名 = "wFunc">
    
97.     参数 参_回调函数 <类型 = 变整数 @输出名 = "lpCallBak">
    
98.     {
    
99.         变量 局_函数 <类型 = 字节集类>
    
100.         局_函数 = 文本到多字节 (参_函数名, 假)
     
101.         // 获取模块基址(不增加引用计数)
     
102.         @     HMODULE hModule = GetModuleHandleW(@<参_DLL名字>);
     
103.         @     if (!hModule)
     
104.         @     {
     
105.         调试输出 ("错误: 无法获取模块 %ls\n", 参_DLL名字)
     
106.         @         return false;
     
107.         @     }
     
108.         变量 局_DLL句柄 <类型 = 变整数>
     
109.         @  @<局_DLL句柄>= (INT_P)hModule;
     
110.         如果 (为64位程序 ())
     
111.         {
     
112.             集_跳板函数 = 申请附近的内存 (局_DLL句柄, 0x32, 真)
     
113.             变量 局_跳转2 <类型 = 字节集类>
     
114.             局_跳转2 = 写入长JMP (参_回调函数)
     
115.             内存复制 (集_跳板函数, 局_跳转2.取字节集指针 (), 局_跳转2.取字节集长度 ())
     
116.         }
     
117.         否则
     
118.         {
     
119.             集_跳板函数 = 参_回调函数
     
120.         }
     
121. 
     
122. 
     
123.         @     // 验证PE头
     
124.         @     auto* pDosHeader = reinterpret_cast<PIMAGE_DOS_HEADER>(hModule);
     
125.         @     if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
     
126.         @     {
     
127.         调试输出 ("错误: 无效的DOS头\n")
     
128.         @         return false;
     
129.         @     }
     
130.         @
     
131.         @     auto* pNtHeaders = reinterpret_cast<PIMAGE_NT_HEADERS_EX>(
     
132.         @         reinterpret_cast<BYTE*>(hModule) + pDosHeader->e_lfanew);
     
133.         @
     
134.         @     if (pNtHeaders->Signature != IMAGE_NT_SIGNATURE)
     
135.         @     {
     
136.         调试输出 ("错误: 无效的NT头\n")
     
137.         @         return false;
     
138.         @     }
     
139.         @
     
140.         @     // 获取导出表
     
141.         @     auto& exportDir = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];
     
142.         @     if (exportDir.VirtualAddress == 0 || exportDir.Size == 0)
     
143.         @     {
     
144.         调试输出 ("错误: 模块没有导出表\n")
     
145.         @         return false;
     
146.         @     }
     
147.         @
     
148.         @     auto* pExportDir = reinterpret_cast<PIMAGE_EXPORT_DIRECTORY>(
     
149.         @         reinterpret_cast<BYTE*>(hModule) + exportDir.VirtualAddress);
     
150.         @
     
151.         @     // 获取导出表数组
     
152.         @     DWORD* pNames = reinterpret_cast<DWORD*>(
     
153.         @         reinterpret_cast<BYTE*>(hModule) + pExportDir->AddressOfNames);
     
154.         @     WORD* pOrdinals = reinterpret_cast<WORD*>(
     
155.         @         reinterpret_cast<BYTE*>(hModule) + pExportDir->AddressOfNameOrdinals);
     
156.         @     DWORD* pFunctions = reinterpret_cast<DWORD*>(
     
157.         @         reinterpret_cast<BYTE*>(hModule) + pExportDir->AddressOfFunctions);
     
158.         @
     
159.         @     // 遍历导出表
     
160.         @     for (DWORD i = 0; i < pExportDir->NumberOfNames; ++i)
     
161.         @     {
     
162.         @         const char* name = reinterpret_cast<const char*>(
     
163.         @             reinterpret_cast<BYTE*>(hModule) + pNames[i]);
     
164.         @
     
165.         @         if (strcmp(name, (const char *)@<局_函数>.GetPtr()) == 0)
     
166.         @         {
     
167.         @             WORD ordinal = pOrdinals[i];
     
168.         @             if (ordinal >= pExportDir->NumberOfFunctions)
     
169.         @             {
     
170.         调试输出 ("错误: 无效的导出序号\n")
     
171.         @                 return false;
     
172.         @             }
     
173.         @
     
174.         @             // 计算函数地址指针
     
175.         @             DWORD_PTR* pFuncAddr = reinterpret_cast<DWORD_PTR*>(&pFunctions[ordinal]);
     
176.         @
     
177.         @             // 修改内存保护
     
178.         @             DWORD oldProtect = 0;
     
179.         @             if (!VirtualProtect(pFuncAddr, sizeof(DWORD_PTR), PAGE_READWRITE, &oldProtect))
     
180.         @             {
     
181.         调试输出 ("错误: VirtualProtect失败 (0x%X)\n")
     
182.         @                 return false;
     
183.         @             }
     
184.         @
     
185.         @             // 保存原始地址
     
186.         @             oldFunc = (INT_P)hModule+*(int*)pFuncAddr;
     
187.         @            g_hookContext.pFuncAddress = pFuncAddr;
     
188.         @            g_hookContext.originalRva = *(int*)pFuncAddr;
     
189.         @            g_hookContext.hModule = hModule;
     
190. 
     
191.         @             // 计算新地址的RVA 如果64位的情况下,会出现问题,导致偏移错误
     
192.         @             *pFuncAddr = static_cast<DWORD_PTR>(
     
193.         @                 reinterpret_cast<BYTE*>(@<集_跳板函数>) - reinterpret_cast<BYTE*>(hModule));
     
194.         @
     
195.         @             // 恢复内存保护
     
196.         @             VirtualProtect(pFuncAddr, sizeof(DWORD_PTR), oldProtect, &oldProtect);
     
197.         @
     
198.         调试输出 ("成功")
     
199.         @             return true;
     
200.         @         }
     
201.         @     }
     
202.         @
     
203.         调试输出 ("错误: 未找到函数 %s\n", 参_函数名)
     
204.         @     return false;
     
205. 
     
206.     }
     
207. 
     
208.     方法 卸载HOOK <公开 类型 = 逻辑型 折叠 @输出名 = "UnhookEAT" @禁止流程检查 = 真>
     
209.     {
     
210.         @     if (!g_hookContext.pFuncAddress) return false;
     
211.         @     DWORD oldProtect = 0;
     
212.         @     if (!VirtualProtect(g_hookContext.pFuncAddress, sizeof(DWORD_PTR), PAGE_READWRITE, &oldProtect)) {
     
213.         @         return false;
     
214.         @     }
     
215.         @     // 恢复原始RVA
     
216.         @ *g_hookContext.pFuncAddress = g_hookContext.originalRva;
     
217.         @     VirtualProtect(g_hookContext.pFuncAddress, sizeof(DWORD_PTR), oldProtect, &oldProtect);
     
218.         @     return true;
     
219. 
     
220.     }
     
221. 
     
222.     方法 取原函数地址 <公开 类型 = 变整数 折叠 @禁止流程检查 = 真>
     
223.     {
     
224.         @ return  oldFunc;
     
225.     }
     
226. 
     
227.     方法 调用原函数 <公开 注释 = "调用所指定的类静态方法" 折叠 @嵌入式方法 = "">
     
228.     参数 所欲调用的方法地址 <类型 = 变整数 注释 = "提供所欲调用类静态方法的地址,该地址可以使用"取静态方法地址"方法获取." "">
     
229.     参数 返回值类型 <注释 = "  该返回值数据类型必须与被调用方法的返回值数据类型保持一致," 注释 = "否则将导致不可意料的问题." @需求类型 = 数据类型 @匹配类型 = 通用型
     
230.             @返回值类型 = 0>
     
231.     参数 调用参数表 <注释 = "  调用参数表的格式务必和被调用方法的参数表一致,否则将导致不" 注释 = "可意料的问题." @可扩展 = "" @匹配类型 = 通用型>
     
232.     {
     
233.         @ ((@<返回值类型> (CALLBACK *) (@pdt_list<调用参数表>))@<所欲调用的方法地址>) (@<调用参数表>)
     
234.     }
     
235. 
     
236.     #
     
237. }
     

复制代码

一曲