黑客技术之移花接木（劫持）

1.这里所说的移花接木分三个级别：@1对自己写的函数使用；@2对别的程序的函数使用；@3对操作系统程序使用。

　简单地说就是让改变程序的走向，本来调用的函数不调用了，调用你写的函数，用你的花去接别的程序的木。

2.这里采用的是微软亚洲研究院开发的劫持技术detours，这是一个封装好的库，有源代码，原理是使用函数指针改变函数行为。

3.移花接木的技术就是调用它的API结合自己实际应用。

4.使用步骤：

@1安装detours，

@2构建库文件，使用Makefile进行编译。

@3包含头文件和库文件#include "detours.h" #include "detver.h"  #pragma  comment(lib,"detours.lib")

@4编写代码，我这一次是拦截自己应用里的调用的函数，代码如下

#include<stdio.h>
#include<stdlib.h>
#include<windows.h>
#include "detours.h"
#include "detver.h" 


#pragma  comment(lib,"detours.lib")//声明要使用静态库
/*
拦截，劫持分三种级别：
1.拦截自己写的函数:直接调用拦截函数
2.拦截别人的函数与进程：通过dll注入来拦截
3.劫持操作系统函数：
劫持三个要素：函数名和函数参数以及返回类型

注意：使用拦截必须使用Release而不是Debug
*/
/*
根据函数原型定义该函数的函数指针,为避免影响其他API使用static修饰该函数指针
WINUSERAPI
int
WINAPI
MessageBoxW(
_In_opt_ HWND hWnd,
_In_opt_ LPCWSTR lpText,
_In_opt_ LPCWSTR lpCaption,
_In_ UINT uType);

*/
/*定义原函数指针指向原函数*/
static int (WINAPI *PMessageBoxW)(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) = MessageBoxW;//让这个指针保存MessageBoxW函数入口地址


/*自己定义的替代原函数的函数*/
int WINAPI NewMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)
{
    printf("我是代替者");
}

/*拦截一个函数，使用新函数代替旧函数,oldFunctionPointer为旧函数的函数指针，newFunction为新函数的函数名*/
void holdUp()
{
    DetourRestoreAfterWith();//1.恢复原来状态
    DetourTransactionBegin();//2.拦截事物开始
    DetourUpdateThread(GetCurrentThread());//3.刷新当前线程
    //多次调用可以拦截多个函数，这里只调用一次DetourAttach
    DetourAttach((void **)&PMessageBoxW, NewMessageBoxW);//实现函数拦截，PMessageBoxW为要被代替的函数的指针变量，NewMessageBoxW为取代者函数名
    DetourTransactionCommit();//提交拦截事物

}

/*取消所拦截函数*/
void unHoldUp()
{

    DetourTransactionBegin();//2.拦截事物开启
    DetourUpdateThread(GetCurrentThread());//3.刷新当前线程
    //多次调用可以取消拦截的多个函数，这里只调用一次DetourDetach
    
    DetourDetach((void **)&PMessageBoxW, NewMessageBoxW);//实现取消函数拦截，PMessageBoxW为被代替的函数的指针变量，NewMessageBoxW为取代者函数名
    DetourTransactionCommit();//提交拦截事物
    
}


void main()
{
    //printf("%p", main);
    printf("%p", MessageBoxW);
    printf("\n%p", &MessageBoxW);
    printf("\n%p", PMessageBoxW);
    printf("\n%p", *PMessageBoxW);
    printf("\n%p", &PMessageBoxW);
    printf("\n%p", NewMessageBoxW);
    MessageBoxW(0, L"锄禾日当午", L"汗滴禾下土", 1);//拦截前的函数

    holdUp();//拦截MessageBoxW这个函数
    MessageBoxW(0, L"锄禾日当午", L"汗滴禾下土", 1);//拦截后的函数
    MessageBoxW(0, L"锄禾日当午", L"汗滴禾下土", 1);//拦截后的函数
    //Sleep(1000);
    printf("\n%p", MessageBoxW);
    printf("\n%p", PMessageBoxW);
    printf("\n%p", *PMessageBoxW);
    printf("\n%p", &PMessageBoxW);
    printf("\n%p", NewMessageBoxW);
    unHoldUp();//取消拦截
    MessageBoxW(0, L"锄禾日当午", L"汗滴禾下土", 1);//拦截后的函数
    MessageBoxW(0, L"锄禾日当午", L"汗滴禾下土", 1);//拦截后的函数
    PMessageBoxW(0, L"锄禾日当午", L"汗滴禾下土", 1);
    printf("\n%p", MessageBoxW);
    printf("\n%p", PMessageBoxW);
    printf("\n%p", *PMessageBoxW);
    printf("\n%p", &PMessageBoxW);
    printf("\n%p", NewMessageBoxW);
    
    system("pause");
}

 

@5拦截效果

看第一个对话框截图

 

点击第一个对话框确定后，便没有弹出对话框了，被自己定义的函数给取代了，打印了2次我会替代者，可见拦截成功，继续运行会弹出三个对话框，可见取消拦截也成功

 

5.总结：这次主要测试自己代码里的函数，下次在测试别人代码和系统代码，拦截效果很明显，取消拦截也很明显，给点提示。