4.3 IAT Hook 掛鉤技術
IAT(Import Address Table)Hook是一種針對Windows作業系統的API Hooking 技術,用於修改應用程式對動態連結庫(DLL)中匯入函數的呼叫。IAT是一個資料結構,其中包含了應用程式在執行時使用的匯入函數的地址。
IAT Hook的原理是通過修改IAT中的函數指標,將原本要呼叫的函數指向另一個自定義的函數。這樣,在應用程式執行時,當呼叫被勾點的函數時,實際上會執行自定義的函數。通過IAT Hook,我們可以攔截和修改應用程式的函數呼叫,以實現一些自定義的行為,比如記錄紀錄檔、修改函數引數或返回值等。
IAT Hook的步驟通常包括以下幾個步驟:
- 獲取目標函數的地址:通過遍歷模組的匯入表,找到目標函數在DLL中的地址。
- 儲存原始函數地址:將目標函數的地址儲存下來,以便後續恢復。
- 修改IAT表項:將目標函數在IAT中對應的函數指標修改為自定義函數的地址。
- 實現自定義函數:編寫自定義的函數,該函數會在被勾點函數被呼叫時執行。
- 呼叫原始函數:在自定義函數中,可以選擇是否呼叫原始的被勾點函數。
該技術常用於實現一些系統級的功能,例如API監控、函數跟蹤、程式碼注入等,接下來筆者將具體分析IAT Hook的實現原理,並編寫一個DLL注入檔案,實現IAT Hook替換MessageBox彈窗的功能。
分析匯入表結構
在早些年系統中執行的都是DOS應用,所以DOS頭結構就是在那個年代產生的,那時候還沒有PE結構的概念,不過軟體行業發展到今天DOS頭部分的功能已經無意義了,但為了最大的相容性微軟還是保留了DOS檔案頭,有些軟體在識別程式是不是可執行檔案的時候通常會讀取PE檔案的前兩個位元組來判斷是不是MZ。
上圖就是PE檔案中的DOS部分,典型的DOS開頭ASCII字串MZ幻數,MZ是Mark Zbikowski的縮寫,Mark Zbikowski是MS-DOS的主要開發者之一,很顯然這個人給微軟做出了巨大的貢獻。
在DOS格式部分我們只需要關注標紅部分,標紅部分是一個偏移值000000F8h該偏移值指向了PE檔案中的標綠部分00004550指向PE字串的位置,此外標黃部分為DOS提示資訊,當我們在DOS模式下執行一個可執行檔案時會彈出This program cannot be run in DOS mode.提示資訊。
上圖中在PE字串開頭位置向後偏移1位元組,就能看到黃色的014C此處代表的是機器類別的十六進位製表示形式,在向後偏移1個位元組是紫色的0006代表的是程式中的區段數,繼續向後偏移1位元組會看到藍色的5DB93874此處是一個時間戳,代表的是自1970年1月1日至當前時間的總秒數,繼續向後可看到灰色的000C此處代表的是連結器的具體版本。
上圖中我們以PE字串為單位向後偏移36位元組,即可看到檔案偏移為120處的內容,此處的內容是我們要重點研究的物件。
在檔案FOA偏移為120的位置,可以看到標紅色的地址0001121C此處代表的是程式裝入記憶體後的入口點(虛擬地址),而緊隨其後的橙色部分00001000就是程式碼段的基址,其後的粉色部分是資料段基址,在資料基址向後偏移1位元組可看到紫色的00400000此處就是程式的建議裝入地址,如果編譯器沒有開啟基址隨機化的話,此處預設就是00400000,開啟隨機化後建議裝入地址與實際地址將不符合。
繼續向下檔案FOA偏移為130的位置,第一處淺藍色部分00001000為區段之間的對齊值,深藍色部分00002000為檔案對其值。
上面只簡單的介紹了PE結構的基本內容,在PE結構的開頭我們知道了區段的數量是6個,接著我們可以在PE字串向下偏移244個位元組的位置就能夠找到區段塊,區塊內容如下:
上圖可以看到,我分別用不同的顏色標註了這六個不同的區段,區段的開頭一般以.xxx為識別符號其所對應的機器碼是2E,其中每個區塊分別佔用40個位元組的儲存空間。
我們以.text節為例子,解釋下不同塊的含義,第一處綠色的位置就是區段名稱該名稱總長度限制在8位元組以內,第二處深紅色標籤為虛擬大小,第三處深紫色標籤為虛擬偏移,第四處藍色標籤為實際大小,第五處綠色標籤為區段的屬性,其它的節區屬性與此相同,此處就不再贅述了。
接著繼續看一下匯入表,匯出表,基址重定位表,IAT表,這些表位於PE字串向後偏移116個位元組的位置,如下我已經將重要的欄位備註了顏色:
首先第一處淺紅色部分就是匯出表的地址與大小,預設情況下只有DLL檔案才會匯出函數所以此處為零,第二處深紅色位置為匯入表地址而後面的黃色部分則為匯入表的大小,繼續向下第三處淺藍色部分則為資源表地址與大小,第四處棕色部分就是基址重定位表的地址,預設情況下只有DLL檔案才會重定位,最下方的藍色部分是IAT表的地址,後面的黃色為IAT表的大小。
此時我們重點關注一下匯入表RVA地址 0001A1E0 我們通過該地址計算一下匯入表對應到檔案中的位置。
計算公式:FOA = 匯入RVA表地址 - 虛擬偏移 + 實際偏移 = > 0001A1E0 - 11000 + 400 = 95E0
通過計算可得知,匯入表位置對應到檔案中的位置是0x95E0,我們直接跟隨過去但此時你會驚奇的發現這裡全部都是0,這是因為Windows裝載器在載入時會動態的獲取第三方函數的地址並自動的填充到這些位置處,我們並沒有執行EXE檔案所以也就不會填充,為了方便演示,我們將程式拖入x64dbg讓其執行起來,然後來看一個重要的結構。
typedef struct _IMAGE_IMPORT_DESCRIPTOR
{
union
{
DWORD Characteristics;
DWORD OriginalFirstThunk; // 指向匯入表名稱的RVA
} DUMMYUNIONNAME;
DWORD TimeDateStamp; // 預設為0(非重點)
DWORD ForwarderChain; // 預設為0(非重點)
DWORD Name; // 指向DLL名字的RVA
DWORD FirstThunk; // 匯入地址表IAT的RVA
} IMAGE_IMPORT_DESCRIPTOR;
該IMAGE_IMPORT_DESCRIPTOR 匯入表結構的大小為4*5 = 20個位元組的空間,匯入表結構結束的位置通常會通過使用一串連續的4*5個0表示結束,接下來我們將從後向前逐一分析這個資料結構所對應到程式中的位置。
通過上面對匯入表的分析我們知道了匯入表RVA地址為 0001A1E0 此時我們還知道ImageBase地址是00400000兩個地址相加即可得到匯入表的虛擬VA地址0041a1e0,此時我們可以直接通過x64dbg的資料視窗定位到0041a1e0可看到如下地址組合,結合IMAGE_IMPORT_DESCRIPTOR結構來分析。
如上所示,可以看到該程式一共有3個匯入結構分別是紅紫黃色部分,最後是一串零結尾的字串,標誌著匯入表的結束,我們以第1段紅色部分為例,最後一個地址偏移0001A15C對應的就是匯入表中的FirstThunk欄位,我們將其加上ImageBase地址,定位過去發現該地址剛好是LoadIconW的函數地址,那麼我們有理由相信緊隨其後的地址應該是下一個外部函數的地址,而事實也正是如此。
接著我們繼續來分析IMAGE_IMPORT_DESCRIPTOR 匯入結構中的Name欄位,其對應的是第一張圖中的紅色部分0001A54A將該偏移與基址00400000相加後直接定位過去,可以看到0041A54A對應的字串正是USER32.dll動態連結庫,而後面會有兩個00標誌著字串的結束。
最後我們來分析IMAGE_IMPORT_DESCRIPTOR中最複雜的一個欄位OriginalFirstThunk 為什麼說它複雜呢?是因為他的內部並不是一個數值而是巢狀了另一個結構體 IMAGE_THUNK_DATA ,我們先來看一下微軟對該結構的定義:
typedef struct _IMAGE_THUNK_DATA32
{
union
{
DWORD ForwarderString; // PBYTE
DWORD Function; // PDWORD
DWORD Ordinal; // 序號
DWORD AddressOfData; // 指向 PIMAGE_IMPORT_BY_NAME
} u1;
} IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;
接著來找到OriginalFirstThunk欄位在記憶體中的位置,由第一張圖可知,圖中的標紅部分第一個四位元組0001A38C 就是它。我們加上基址00400000然後直接懟過去,並結合上方的結構定義研究一下;
該結構中我們需要關注AddressOfData結構成員,該成員中的資料最高位(紅色)如果為1(去掉1)說明是函數的匯出序號,而如果最高位為0則說明是一個指向IMAGE_IMPROT_BY_NAME結構(匯入表)的RVA(藍色)地址,此處因為我們找的是匯入表所以最高位全部為零。
我們以上圖中的第一個RVA地址0001A53E與基址相加,來看下該AddressOfData欄位中所指向的內容是什麼。
上圖黃色部分是編譯器生成的,而藍色部分則為LoadIconW字串與FirstThunk中的0041A15C地址指標是相互對應的,而最後面的00則表明字串的結束,對比以下結構宣告就很好理解了。
typedef struct _IMAGE_IMPORT_BY_NAME
{
WORD Hint; // 編譯器生成的
CHAR Name[1]; // 函數名稱,以0結尾的字串
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
為了能更加充分的理解,筆者為大家用Excel畫了一張圖,如下所示:
如上圖IMAGE_IMPORT_DESCRIPTO匯入表結構中的FirstThunk和OriginalFirstThunk分別指向兩個相同的IMAGE_THUNK_DATA結構,其中記憶體INT(Improt Name Table)表中儲存的就是匯入函數的名稱,而IAT(Improt Address Table)表中存放的是匯入函數的地址,他們都共同指向IMAGE_IMPORT_BY_NAME結構,而之所以使用兩份IMAGE_THUNK_DATA結構,是為了最後還可以留下一份備份資料用來反過來查詢地址所對應的匯入函數名,看了這張圖再結合上面的實驗相信你已經理解了;
實現匯入表劫持
在之前的內容中我們已經分析了匯入表結構,接著我們將實現對匯入表的劫持功能,我們需要使用IAT Hook就必須要首先找到匯入表中特定的函數地址,首先我們先實現列舉定位功能,通過列舉程式中的IMAGE_IMPORT_DESCRIPTOR結構在其中找到對應的匯入模組user32.dll並在該模組內尋找對應的函數名MessageBox,通過使用雙層迴圈即可實現對特定匯入函數的列舉,如下是一段列舉匯入表函數的功能;
#include <iostream>
#include <Windows.h>
#include <Dbghelp.h>
#pragma comment (lib, "Dbghelp")
int main(int argc, char* argv[])
{
// 開啟檔案
HANDLE hFile = CreateFile("d://lyshark.exe", GENERIC_READ, FILE_SHARE_READ,
NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
// 建立記憶體對映
HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READONLY | SEC_IMAGE, 0, 0, 0);
LPVOID lpBase = MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0);
// 得到DOS頭部
PIMAGE_DOS_HEADER pDosHdr = (PIMAGE_DOS_HEADER)lpBase;
if (pDosHdr->e_magic != IMAGE_DOS_SIGNATURE)
{
UnmapViewOfFile(lpBase);
return -1;
}
// 得到NT頭部
PIMAGE_NT_HEADERS pNtHdr = (PIMAGE_NT_HEADERS)((DWORD)lpBase + pDosHdr->e_lfanew);
if (pNtHdr->Signature != IMAGE_NT_SIGNATURE)
{
return -1;
}
DWORD dwNum = 0;
// 資料目錄表
PIMAGE_IMPORT_DESCRIPTOR pImpDes = (PIMAGE_IMPORT_DESCRIPTOR)
ImageDirectoryEntryToData(lpBase, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &dwNum);
PIMAGE_IMPORT_DESCRIPTOR pTmpImpDes = pImpDes;
// 列舉匯入表
while (pTmpImpDes->Name)
{
printf("[*] 連結庫名稱: %s \n", (DWORD)lpBase + (DWORD)pTmpImpDes->Name);
PIMAGE_THUNK_DATA thunk = (PIMAGE_THUNK_DATA)(pTmpImpDes->FirstThunk + (DWORD)lpBase);
int index = 0;
while (thunk->u1.Function)
{
if (thunk->u1.Ordinal & IMAGE_ORDINAL_FLAG)
{
printf("匯入序號: %08X \r\n", thunk->u1.Ordinal & 0xFFFF);
}
else
{
PIMAGE_IMPORT_BY_NAME pImName = (PIMAGE_IMPORT_BY_NAME)thunk->u1.Function;
printf("函數名稱: %-30s \t", (DWORD)lpBase + pImName->Name);
DWORD dwAddr = (DWORD)((DWORD *)((DWORD)pNtHdr->OptionalHeader.ImageBase
+ pTmpImpDes->FirstThunk) + index);
printf("匯入地址: 0x%08x \r\n", dwAddr);
}
thunk++;
index++;
}
pTmpImpDes++;
}
system("pause");
return 0;
}
讀者可自行編譯並執行上方程式碼片段,當執行後即可輸出d://lyshark.exe程式中所有的匯入庫與該庫中的匯入函數資訊,輸出效果如下圖所示;
當有了列舉匯入表功能,則下一步是尋找特定函數的匯入地址,以MessageBoxA函數為例,該函數的匯入地址是0x0047d3a0此時我們只需要在此處進行掛鉤,並轉向即可實現劫持效果,具體來說這個流程如下所示;
- 首先需要編寫DLL檔案,在DLL檔案中找出
MessageBox的原函數地址。 - 接著通過程式碼的方式找到
DOS/NT/FILE-Optional頭偏移地址。 - 通過
DataDirectory[1]陣列得到匯入表的起始RVA並與ImageBase基址相加得到VA記憶體地址。 - 迴圈遍歷匯入表中的
IAT表,找到與MessageBox地址相同的4位元組位置。 - 找到後通過
VirtualProtect設定記憶體屬性可讀寫,並將自己的函數地址寫入到目標IAT表中。 - 沒有找到的話直接
pFirstThunk++迴圈遍歷後面的4位元組位置,直到找到為止。 - 最後將自身彈窗回撥函數
MyMessageBoxA與原函數做替換,則此時即可實現劫持功能。
通過上述開發流程,讀者應該可以自行編寫出這段劫持程式碼,如下程式碼則是完整的劫持實現,我們通過自定義MyMessageBoxA函數,並通過IATHook()實現對記憶體中匯入函數地址的替換,此時當有新的存取時則會自動跳轉到自定義函數上執行,執行結束後既跳轉回OldMessageBoxA原函數上返回。
#include <iostream>
#include <Windows.h>
#include <Dbghelp.h>
#pragma comment (lib, "Dbghelp")
typedef int(WINAPI *pfMessageBoxA)(HWND, LPCSTR, LPCSTR, UINT);
pfMessageBoxA OldMessageBoxA = NULL;
// 我們自己的回撥函數
int WINAPI MyMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
return OldMessageBoxA(hWnd, "hello lyshark", lpCaption, uType);
}
// 得到程序NT頭部
PIMAGE_NT_HEADERS GetLocalNtHead()
{
DWORD dwTemp = NULL;
PIMAGE_DOS_HEADER pDosHead = NULL;
PIMAGE_NT_HEADERS pNtHead = NULL;
// 取自身ImageBase
HMODULE ImageBase = GetModuleHandle(NULL);
// 取pDosHead地址
pDosHead = (PIMAGE_DOS_HEADER)(DWORD)ImageBase;
dwTemp = (DWORD)pDosHead + (DWORD)pDosHead->e_lfanew;
// 取出NtHead頭地址
pNtHead = (PIMAGE_NT_HEADERS)dwTemp;
return pNtHead;
}
// 劫持函數
void IATHook()
{
PVOID pFuncAddress = NULL;
// 取Hook函數地址
pFuncAddress = GetProcAddress(GetModuleHandleA("user32.dll"), "MessageBoxA");
// 儲存原函數指標
OldMessageBoxA = (pfMessageBoxA)pFuncAddress;
// 獲取到程式自身NtHead
PIMAGE_NT_HEADERS pNtHead = GetLocalNtHead();
PIMAGE_FILE_HEADER pFileHead = (PIMAGE_FILE_HEADER)&pNtHead->FileHeader;
PIMAGE_OPTIONAL_HEADER pOpHead = (PIMAGE_OPTIONAL_HEADER)&pNtHead->OptionalHeader;
// 找出匯入表偏移
DWORD dwInputTable = pOpHead->DataDirectory[1].VirtualAddress;
DWORD dwTemp = (DWORD)GetModuleHandle(NULL) + dwInputTable;
PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)dwTemp;
PIMAGE_IMPORT_DESCRIPTOR pCurrent = pImport;
// 匯入表子表,IAT儲存函數地址表
DWORD *pFirstThunk;
// 遍歷匯入表
while (pCurrent->Characteristics && pCurrent->FirstThunk != NULL)
{
// 找到記憶體中的匯入表
dwTemp = pCurrent->FirstThunk + (DWORD)GetModuleHandle(NULL);
// 賦值 pFirstThunk
pFirstThunk = (DWORD *)dwTemp;
// 不為NULl說明沒有結束
while (*(DWORD*)pFirstThunk != NULL)
{
// 相等則找到了
if (*(DWORD*)pFirstThunk == (DWORD)OldMessageBoxA)
{
DWORD oldProtected;
// 開啟寫許可權
VirtualProtect(pFirstThunk, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);
dwTemp = (DWORD)MyMessageBoxA;
// 將MyMessageBox地址拷貝替換
memcpy(pFirstThunk, (DWORD *)&dwTemp, 4);
// 關閉防寫
VirtualProtect(pFirstThunk, 0x1000, oldProtected, &oldProtected);
}
// 繼續遞增迴圈
pFirstThunk++;
}
// 每次是加1個匯入表結構
pCurrent++;
}
}
BOOL APIENTRY DllMain(HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
// 程序被載入後執行
IATHook();
break;
case DLL_THREAD_ATTACH:
// 執行緒被建立後載入
break;
case DLL_THREAD_DETACH:
// 正常退出執行的程式碼
break;
case DLL_PROCESS_DETACH:
// 程序解除安裝本Dll後執行的程式碼
break;
}
return TRUE;
}
編譯上方程式碼片段,並生成一個hook.dll檔案,通過使用注入器將該模組注入到指定程序中,此時再次點選彈窗提示會發現功能已經被替換了,開啟x64dbg也可看到模組已經被注入,如下圖所示;
本文作者: 王瑞
本文連結: https://www.lyshark.com/post/f4e2e05e.html
版權宣告: 本部落格所有文章除特別宣告外,均採用 BY-NC-SA 許可協定。轉載請註明出處!
文章出處:https://www.cnblogs.com/LyShark/p/17704030.html
本部落格所有文章除特別宣告外,均採用 BY-NC-SA 許可協定。轉載請註明出處!