专栏首页Eureka伽罗的技术时光轴截取程序的网络封包(Delphi Hook API)

截取程序的网络封包(Delphi Hook API)

有时候我们需要对其它应用程序发送和接收的网络数据进行拦截,比如要对IE发送的**头进行分析,得到请求的地址等.这次我们可以用一些例如WPE, Sniffer之类的工具来达到目的.但是工具功能有限,要想实现更强大的功能,还是我们自己动手来DIY吧. 拦截网络数据封包的方法有三种,一是将网卡设为混杂模式,这次就可以监视到局域网上所有的数据包,二是HOOK目标进程的发送和接收的API函数,第三种方法是自己实现一个代理的DLL.在这里我们使用HOOK API的方法,这样易于实现,而且也不会得到大量的无用数据(如第一种方法就会监视到所有的网络数据). 下面是一个尽量简化了的API HOOK的模版,原理是利用消息钩子将DLL中的代码注入到目标进程中,再用GetProcAddress得到API函数入口地址,将函数入口址改为自己定义的函数入口,这样就得到了API函数的相应参数,处理完后,再改回真实API函数入口地址,并调用它. HOOK.DLL的代码:

Delphi代码

  1. library Hook;
  2. uses
  3. SysUtils,
  4. windows,
  5. Messages,
  6. APIHook in 'APIHook.pas';
  7. type
  8. PData = ^TData;
  9. TData = record
  10. Hook: THandle;
  11. Hooked: Boolean;
  12. end;
  13. var
  14. DLLData: PData;
  15. {------------------------------------}
  16. {过程名:HookProc
  17. {过程功能:HOOK过程
  18. {过程参数:nCode, wParam, lParam消息的相
  19. { 关参数
  20. {------------------------------------}
  21. procedure HookProc(nCode, wParam, lParam: LongWORD);stdcall;
  22. begin
  23. if not DLLData^.Hooked then
  24. begin
  25. HookAPI;
  26. DLLData^.Hooked := True;
  27. end;
  28. //调用下一个Hook
  29. CallNextHookEx(DLLData^.Hook, nCode, wParam, lParam);
  30. end;
  31. {------------------------------------}
  32. {函数名:InstallHook
  33. {函数功能:在指定窗口上安装HOOK
  34. {函数参数:sWindow:要安装HOOK的窗口
  35. {返回值:成功返回TRUE,失败返回FALSE
  36. {------------------------------------}
  37. function InstallHook(SWindow: LongWORD):Boolean;stdcall;
  38. var
  39. ThreadID: LongWORD;
  40. begin
  41. Result := False;
  42. DLLData^.Hook := 0;
  43. ThreadID := GetWindowThreadProcessId(sWindow, nil);
  44. //给指定窗口挂上钩子
  45. DLLData^.Hook := SetWindowsHookEx(WH_GETMESSAGE, @HookProc, Hinstance, ThreadID);
  46. if DLLData^.Hook > 0 then
  47. Result := True //是否成功HOOK
  48. else
  49. exit;
  50. end;
  51. {------------------------------------}
  52. {过程名:UnHook
  53. {过程功能:卸载HOOK
  54. {过程参数:无
  55. {------------------------------------}
  56. procedure UnHook;stdcall;
  57. begin
  58. UnHookAPI;
  59. //卸载Hook
  60. UnhookWindowsHookEx(DLLData^.Hook);
  61. end;
  62. {------------------------------------}
  63. {过程名:DLL入口函数
  64. {过程功能:进行DLL初始化,释放等
  65. {过程参数:DLL状态
  66. {------------------------------------}
  67. procedure MyDLLHandler(Reason: Integer);
  68. var
  69. FHandle: LongWORD;
  70. begin
  71. case Reason of
  72. DLL_PROCESS_ATTACH:
  73. begin //建立文件映射,以实现DLL中的全局变量
  74. FHandle := CreateFileMapping($FFFFFFFF, nil, PAGE_READWRITE, 0, $ffff, 'MYDLLDATA');
  75. if FHandle = 0 then
  76. if GetLastError = ERROR_ALREADY_EXISTS then
  77. begin
  78. FHandle := OpenFileMapping(FILE_MAP_ALL_ACCESS, False, 'MYDLLDATA');
  79. if FHandle = 0 then Exit;
  80. end else Exit;
  81. DLLData := MapViewOfFile(FHandle, FILE_MAP_ALL_ACCESS, 0, 0, 0);
  82. if DLLData = nil then
  83. CloseHandle(FHandle);
  84. end;
  85. DLL_PROCESS_DETACH:
  86. begin
  87. if Assigned(DLLData) then
  88. begin
  89. UnmapViewOfFile(DLLData);
  90. DLLData := nil;
  91. end;
  92. end;
  93. end;
  94. end;
  95. {$R *.res}
  96. exports
  97. InstallHook, UnHook, HookProc;
  98. begin
  99. DLLProc := @MyDLLHandler;
  100. MyDLLhandler(DLL_PROCESS_ATTACH);
  101. DLLData^.Hooked := False;
  102. end.
  103. ----------------------------------------------------------------------------------------
  104. APIHook.Pas的代码:
  105. unit APIHook;
  106. interface
  107. uses
  108. SysUtils,
  109. Windows, WinSock;
  110. type
  111. //要HOOK的API函数定义
  112. TSockProc = function (s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;
  113. PJmpCode = ^TJmpCode;
  114. TJmpCode = packed record
  115. JmpCode: BYTE;
  116. Address: TSockProc;
  117. MovEAX: Array [0..2] of BYTE;
  118. end;
  119. //--------------------函数声明---------------------------
  120. procedure HookAPI;
  121. procedure UnHookAPI;
  122. var
  123. OldSend, OldRecv: TSockProc; //原来的API地址
  124. JmpCode: TJmpCode;
  125. OldProc: array [0..1] of TJmpCode;
  126. AddSend, AddRecv: pointer; //API地址
  127. TmpJmp: TJmpCode;
  128. ProcessHandle: THandle;
  129. implementation
  130. {---------------------------------------}
  131. {函数功能:Send函数的HOOK
  132. {函数参数:同Send
  133. {函数返回值:integer
  134. {---------------------------------------}
  135. function MySend(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;
  136. var
  137. dwSize: cardinal;
  138. begin
  139. //这儿进行发送的数据处理
  140. MessageBeep(1000); //简单的响一声
  141. //调用直正的Send函数
  142. WriteProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);
  143. Result := OldSend(S, Buf, len, flags);
  144. JmpCode.Address := @MySend;
  145. WriteProcessMemory(ProcessHandle, AddSend, @JmpCode, 8, dwSize);
  146. end;
  147. {---------------------------------------}
  148. {函数功能:Recv函数的HOOK
  149. {函数参数:同Recv
  150. {函数返回值:integer
  151. {---------------------------------------}
  152. function MyRecv(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;
  153. var
  154. dwSize: cardinal;
  155. begin
  156. //这儿进行接收的数据处理
  157. MessageBeep(1000); //简单的响一声
  158. //调用直正的Recv函数
  159. WriteProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);
  160. Result := OldRecv(S, Buf, len, flags);
  161. JmpCode.Address := @MyRecv;
  162. WriteProcessMemory(ProcessHandle, AddRecv, @JmpCode, 8, dwSize);
  163. end;
  164. {------------------------------------}
  165. {过程功能:HookAPI
  166. {过程参数:无
  167. {------------------------------------}
  168. procedure HookAPI;
  169. var
  170. DLLModule: THandle;
  171. dwSize: cardinal;
  172. begin
  173. ProcessHandle := GetCurrentProcess;
  174. DLLModule := LoadLibrary('ws2_32.dll');
  175. AddSend := GetProcAddress(DLLModule, 'send'); //取得API地址
  176. AddRecv := GetProcAddress(DLLModule, 'recv');
  177. JmpCode.JmpCode := $B8;
  178. JmpCode.MovEAX[0] := $FF;
  179. JmpCode.MovEAX[1] := $E0;
  180. JmpCode.MovEAX[2] := 0;
  181. ReadProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);
  182. JmpCode.Address := @MySend;
  183. WriteProcessMemory(ProcessHandle, AddSend, @JmpCode, 8, dwSize); //修改Send入口
  184. ReadProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);
  185. JmpCode.Address := @MyRecv;
  186. WriteProcessMemory(ProcessHandle, AddRecv, @JmpCode, 8, dwSize); //修改Recv入口
  187. OldSend := AddSend;
  188. OldRecv := AddRecv;
  189. end;
  190. {------------------------------------}
  191. {过程功能:取消HOOKAPI
  192. {过程参数:无
  193. {------------------------------------}
  194. procedure UnHookAPI;
  195. var
  196. dwSize: Cardinal;
  197. begin
  198. WriteProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);
  199. WriteProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);
  200. end;
  201. end.

--------------------------------------------------------------------------------------------- 编译这个DLL后,再新建一个程序调用这个DLL的InstallHook并传入目标进程的主窗口句柄就可:

Delphi代码

  1. unit fmMain;
  2. interface
  3. uses
  4. Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  5. Dialogs, StdCtrls;
  6. type
  7. TForm1 = class(TForm)
  8. Button1: TButton;
  9. Button2: TButton;
  10. Edit1: TEdit;
  11. procedure Button1Click(Sender: TObject);
  12. procedure Button2Click(Sender: TObject);
  13. private
  14. { Private declarations }
  15. public
  16. { Public declarations }
  17. end;
  18. var
  19. Form1: TForm1;
  20. InstallHook: function (SWindow: THandle):Boolean;stdcall;
  21. UnHook: procedure;stdcall;
  22. implementation
  23. {$R *.dfm}
  24. procedure TForm1.Button1Click(Sender: TObject);
  25. var
  26. ModuleHandle: THandle;
  27. TmpWndHandle: THandle;
  28. begin
  29. TmpWndHandle := 0;
  30. TmpWndHandle := FindWindow(nil, '目标窗口的标题');
  31. if not isWindow(TmpWndHandle) then
  32. begin
  33. MessageBox(self.Handle, '没有找到窗口', '!!!', MB_OK);
  34. exit;
  35. end;
  36. ModuleHandle := LoadLibrary('Hook.dll');
  37. @InstallHook := GetProcAddress(ModuleHandle, 'InstallHook');
  38. @UnHook := GetProcAddress(ModuleHandle, 'UnHook');
  39. if InstallHook(FindWindow(nil, 'Untitled')) then
  40. ShowMessage('Hook OK');
  41. end;
  42. procedure TForm1.Button2Click(Sender: TObject);
  43. begin
  44. UnHook
  45. end;
  46. end.

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何计算UDP/TCP检验和checksum

    如何计算UDP/TCP检验和checksum 一、下面的图是一个UDP的检验和所需要用到的所有信息,包括三个部分: ...

    战神伽罗
  • Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准...

    战神伽罗
  • delphi record中的case

    战神伽罗
  • 微信携手第三方再造新平台 - 公众号第三方平台介绍

      微信携手第三方,再造新平台,即我们平常所说的公众号第三方平台,是通过微信公众号登录授权,帮助各行各业公众号解决业务需求的第三方网站。是必须基于公众号登录授权...

    ytkah
  • 知数堂联合创始人叶金荣:MySQL 5.7新时代

    摘要 MySQL 5.7版本新增了很多特别实用的功能,截止目前已经发布5.7.17版本,也越来越成熟了,而且Group Replication也GA了。就让我们...

    IT大咖说
  • VSZ与RSS

    使用ps命令查看进程的内存使用情况时,有3列输出,分别是%MEM、VSZ和RSS,其中VSZ全称为Virtual Memory Size,RSS...

    glinuxer
  • 【处理手记】VS2010SP1安装不上Visual Studio 2010 SP1 SDK的解决办法

    想写个VS插件,需要安装VS的SDK,VS2010SP1对应的SDK自然是Visual Studio 2010 SP1 SDK,下载页面:

    AhDung
  • Kettle与Hadoop(四)导入导出Hadoop集群数据

    http://wiki.pentaho.com/download/attachments/23530622/weblogs_rebuild.txt.zip?ve...

    用户1148526
  • 优秀的系统监控工具

    下面介绍3个开源的主流监控工具 Nagios ? https://www.nagios.org/ Nagios 用于对服务器、网络、应用进行监控和告警,非...

    dys
  • Qt关闭窗口之小坑

      执行下列代码后点击右上角"X"号居然退出不了程序,而是隐藏了窗口。原以为会恢复正常退出程序的功能,其实不然。

    Qt君

扫码关注云+社区

领取腾讯云代金券