フックはただ

フックは、他の人のプロセスで関数呼び出しを傍受するための技術です。 フックは、十分に強力なテクノロジーと同様に、適切な目的（スニファー、オーディオ/ビデオグラバー、クローズドエンドソフトウェア機能の拡張、ロギング、バグ修正）と悪意（トロイの木馬、クラック、キーロガー）の両方に使用できます。 フックについては、Habrではなく Habrの両方で2回以上書いています 。 しかし、ここに問題があります-何らかの理由で、フックに関するすべての記事は、「仮想関数テーブル」、「メモリアーキテクチャ」に関する2番目の段落から始まり、アセンブラコードの巨大なブロックを研究することを提案します。 テキスト内の各式によって読者の数が半分に減ることが知られており、そのようなことは完全に4倍です。 したがって、フックについて簡単に説明する記事が必要です。 catの下には、アセンブラー、複雑な用語、文字通り2ダースの非常に単純なC ++コードはありません。 長い間フックを学びたいと思っていたが、どこから始めればよいかわからない場合は、この記事から始めてください。

本当の挑戦

私たちが何をしているのかをよりよく理解するために、実際のタスクを設定します。 例えば、Firefoxブラウザーに、 「Hello、Habr！」と書いてもらいましょう。見出しではなく、 「*** / Habrahabr-Mozilla Firefox」のようになります。ここで*** -セクションによって異なります）。 はい、Firefoxのソース、ブラウザプラグイン、ユーザースクリプト、その他多数の方法を編集することでこれを実現できることを知っています。 しかし、教育目的のためにフックを使用します。

ちょっとした理論

アプリケーションを起動すると、オペレーティングシステムがそのプロセスを作成します。 大まかに言うと、exeファイルはメモリにコピーされ、動作する必要のあるライブラリ（dllファイル）が決定され（この情報は各exeファイルの先頭に記録されます）、これらのライブラリが（プログラムフォルダーおよびシステムフォルダーで）検索されますプロセスメモリにロードされます。 次に、プログラムが使用するライブラリー関数とそれらの場所（どのライブラリーおよびこのライブラリーの正確な場所）を正確に判別します。 プレートは、「SomeFunction1（）function-SomeLibrary1.dll library-％function_address_SomeFunction1（）％」という形式で構築されます。 プログラムがこの関数を呼び出す必要がある場合、メモリ内で必要なライブラリを見つけ、目的のアドレスをカウントし、そこで制御を転送します。



フックの本質は、プログラムに、必要な機能が別の場所にあると信じさせることです。



これはこのようにして行われます-私たちはライブラリSomeLibrary2.dllを書きます。このライブラリには関数SomeFunction2（）が配置されます。 次に、このライブラリを別のプロセスのメモリにロードし（Windowsにはこのための特別な関数があります）、上記で記述したラベルを変更して、エントリ「SomeFunction1（）function-SomeLibrary2.dll library- ％address_of our_function_SomeFunction2（）％ "。 この段落で説明されているすべてを手動で行う方法を理解するには、Windowsでメモリがどのように配置されているか、関数がどのように呼び出されるか、引数がどのように渡されるかなど、すべてを十分に知る必要があります。 これには注意が必要です。 まあ、実際にはそうではありません、あなたはそれなしで行うことができます。 必要な場合は、高度な記事（または少なくとも冒頭に示した記事の1つ）をお読みください。 私たちは別の方法で行きます-既製のMicrosoft Detoursライブラリを使用します。これにより、すべての汚い作業が行われます。

Microsoft Detoursについて一言

学びやすく使いやすい。
非常に効果的
良いドキュメント
ソースに多くの例を含む
Microsoftによって開発された-OSの「友達」ではない
研究および非営利プロジェクトは無料
アセンブリの知識は必要ありません

閉店
商用利用またはx64アーキテクチャに見合うまともなお金

一般に、フックの研究は特にDetoursから始めることをお勧めします。これが1回限りのエンターテイメントである場合、これで十分です。すぐに成功し、好きになるでしょう。 深刻なプロジェクトでフックが必要な場合は、 mhook 、Detoursの購入、または独自の自転車を作成するなど、無料でオープンな（ただしやや複雑な）ライブラリに簡単に切り替えることができます（最後の2つのソリューションには、非常に良い理由が必要です）。
どこで入手でき、どのように迂回路を組み立てるかについて、私はここに書いた 。

トリッキーな計画

1. フックを設定する機能を理解します。
2. 元のライブラリを置き換え、必要なことを行う関数を使用して独自のライブラリを作成します。
3. フックを設定します（目的のプロセスのメモリにライブラリをロードし、必要な関数へのポインタを再配置します）。
4. 利益！

フックを置く場所

MSDNは、ウィンドウタイトルをSendMessage関数で設定できることを非常に明確に示唆しています。この場合 、 WM_SETTEXTを2番目のパラメーターとして渡し、テキスト自体を最後にする必要があります。 ただし、微妙な違いがある場合があります。

1. SendMessageの代わりに、PostMessageなどを使用できます。
2. SendMessageは関数ではないかもしれませんが、別の関数を参照するマクロです（後でわかるようになります）
3. Firefoxは、一部のクロスプラットフォームアプリケーションと同様に、Windows関数を使用して標準のウィンドウ要素を描画せず、代わりに何らかの種類のクロスプラットフォームGUI要素を使用する場合があります（残念ながら、そうではありませんが、突然です！）

したがって、すべてを徹底的にチェックする必要があります。 すばらしい無料のAPI Monitorプログラムが役立ちます。 特定のプロセスに参加して、それが呼び出す関数とパラメーターをスパイすることができます。 あなたはすでに推測しているかもしれません-彼女もフックの助けを借りてこれを行います。 そのため、FirefoxとMonitor APIを起動します。 まず、APIモニターでフィルターを指定する必要があります-モニターする特定の機能グループ。 すべてを選択した場合-調査中のプログラムの動作が非常に遅くなる（またはフリーズする可能性もあります）ため、選択する数が少なすぎます-必要なプログラムを逃します したがって、Windows GUI要素を操作するための機能が潜在的に見つかるグループのみを考えて選択する必要があります。 GraphicsおよびWindows Application UI Developmentグループを選択し、Running ProcessesパネルでFirefoxをダブルクリックしましょう。 この瞬間から、右側のパネルのAPIモニターには、すべてのAPI関数とそのパラメーターの呼び出しが表示されます。

Firefoxに移動してHabrを開き、ヘッダーが目的のヘッダーに変わるのを待ってから、Api Monitorに戻って監視を停止します。 ほとんどの場合、呼び出される関数の数に驚くでしょう-ほんの数秒の監視で数十万の関数が存在する可能性があります。 しかし、私たちはまだすべてに従っていません。 はい、はい、それはすべてブラウザでたった1つのサイトを無害に開いた状態で本当に起こります！ そして、あなたはまだこの数秒が長すぎると不平を言っています。 :)



必要な機能を見つけると、監視結果でタブを検索するのに役立ちます。 “ WM_SETTEXT”を検索に組み込み、このパラメーターを使用してSendMessageW関数を実際に呼び出していることを確認します。これは、ウィンドウタイトルの設定である可能性が高いです。 関数名の最後にある「W」に注意してください。これは、Unicodeバージョンが使用されていることを意味します。 フックを設定するには、置き換えられる関数の正確な名前を知ることが重要であり、今ではそれを知っています。

私たちは図書館を作ります

1. Visual Studioを起動します 。
2.新しいプロジェクトを作成します：ファイル->新規->プロジェクト。 Visual C ++-> Win32-> Win32 Projectと入力します。 プロジェクトを作成するためのダイアログで、タイプ「Dll」を指定します。
3. dllmain.cppファイルを開き、次のコードをそこに記述します。

#include <windows.h> #include "C:\Program Files\Microsoft Research\Detours Express 3.0\src\detours.h" LRESULT (WINAPI * TrueSendMessageW)(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam) = SendMessageW; __declspec(dllexport) LRESULT WINAPI MySendMessageW(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam) { if (Msg == WM_SETTEXT && wcsstr((LPCTSTR)lParam, L"/  - Mozilla Firefox") != NULL) return TrueSendMessageW(hWnd, Msg, wParam, (LPARAM)L", !"); return TrueSendMessageW(hWnd, Msg, wParam, lParam); } BOOL WINAPI DllMain(HINSTANCE hinst, DWORD dwReason, LPVOID reserved) { if (dwReason == DLL_PROCESS_ATTACH) { DetourRestoreAfterWith(); DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(&(PVOID&)TrueSendMessageW, MySendMessageW); DetourTransactionCommit(); } else if (dwReason == DLL_PROCESS_DETACH) { DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourDetach(&(PVOID&)TrueSendMessageW, MySendMessageW); DetourTransactionCommit(); } return TRUE; } 

4.プロジェクトのプロパティを開き、値「C：\ Program Files \ Microsoft Research \ Detours Express 3.0 \ lib.X86 \ detours.lib」をリンカー設定タブの追加の依存関係フィールドに追加します。 注意、パスは異なる場合があります-Detoursライブラリをインストールした場所によって異なります。



5.プロジェクトをコンパイルします：Build-> Build Solution。 出力はdll-ku（hooktest.dllという名前にします）

ソースを分析しましょう。 最初に、Windowsヘッダーファイル（SendMessageW関数を使用するため）およびDetours（フックを設定/削除できるようにするため）を含めます。
一見複雑な＃3行目では、TrueSendMessageW変数にSendMessageW関数への実際のポインターを保存するだけです。 これは2つの目的で必要です。

1. 「フェイク」から実際の関数SendMessageWを呼び出すには。
2. フックを削除したい時点で実際の関数へのポインターを復元します。

次は、偽のMySendMessageW関数です。 彼女はとてもシンプルです。 メッセージWM_SETTEXTが出てきて、そのテキストにHabrの言及がある場合は、それを自分のものに置き換えてください。 それ以外の場合、透過プロキシとして動作します。 __declspec（dllexport）プレフィックスに注意してください-他のプロセスがこの関数を使用できるようにするために必要です。

DllMain関数は、特定の場合にオペレーティングシステムによって呼び出されます-たとえば、プロセスへのライブラリのアタッチ/デタッチの瞬間に。 ここでも、すべてが簡単です。 接続時にフックを設定する必要があり、分離時にはフックを削除する必要があります。 Detourライブラリでは、これをトランザクションで行う必要があり、これは理にかなっています-複数の人が一度に1つのプロセスにフックを入れたい場合に何が起こるか想像してください。 このコードで最も重要なのは次の行です

 DetourAttach(&(PVOID&)TrueSendMessageW, MySendMessageW); 

プロセスを「信じる」ようにするのは彼女であり、実際のSendMessageW関数の代わりに、MySendMessageWを呼び出す必要があります。 この行のために、すべてが開始されました。 誰かが興味を持っているなら、私はかつてこの関数の類似物を手動で書いた。 関数の種類とアーキテクチャのすべての可能な組み合わせを考えると、数週間かかりました。 ただ保存しました-おめでとうございます。

フックを設定する

Microsoft Detoursには、フックをインストールするためのさまざまなオプションがあります。最も簡単なものを使用します。 ライブラリに付属する一連のサンプルには、withdll.exeプログラムが含まれています。パラメータとして、アプリケーションへのパスと、起動後にこのアプリケーションのメモリにロードする必要のあるライブラリを受け取ります。 次のようにすべてを開始します。

 withdll.exe -d:hooktest.dll "C:\Program Files\Mozilla Firefox\firefox.exe" 

利益！

Habrを開きます：



やれやれ！

フックの学習に成功。