开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > 防火墙与安全工具 > 查看源码
Hook.cpp
资源名称:FireWallSys.rar [点击查看]
上传用户:yitai_qhd
上传日期:2008-04-24
资源大小:31k
文件大小:3k
源码类别:

防火墙与安全工具

开发平台:

Visual C++

Hook.cpp:源码内容
  1. #include <windows.h>
  2. #include <winnt.h>
  3. #include "hook.h"
  6. unsigned long SAVECR0 = 0;
  7. // 禁用Windows NT/2000的内存保护,使只读内存区可写
  8. //
  10. void DisableProtection() 
  11. {
  12.     __asm
  13.     {
  14.         mov eax,cr0 
  15.         mov SAVECR0,eax 
  16.         and eax,0fffeffffh 
  17.         mov cr0,eax 
  18.     }
  19. }
  21. //
  22. // 启用Windows NT/2000的内存保护
  23. //
  24. void EnableProtection()
  25. {
  26.     __asm
  27.     {
  28.         mov eax,SAVECR0 
  29.         mov cr0,eax 
  30.     }
  31. }
  33. //
  34. // Hook 一个系统函数
  35. // 参数:
  36. //     pBaseAddress: 要Hook函数所在文件在内存映象的基地址,比如NDIS.SYS的基地址
  37. //     Name: 要Hook的函数名
  38. //     InFunc: 自己的函数地址
  39. //     OutFunc: Hook后保存系统的函数地址
  40. // 返回值:
  41. //     NULL: Hook失败
  42. //     Not NULL: 返回系统函数地址,与*OutFunc相同
  43. //
  44. //
  45. PVOID HookFun(PVOID pBaseAddress, PCSTR Name, PVOID InFunc, ULONG* OutFunc)
  46. {
  47. //以下是PE文件中的结构
  48.     PIMAGE_DOS_HEADER pDosHeader = NULL;//DOS EXE文件头结构
  49.     PIMAGE_NT_HEADERS pNtHeader = NULL;//PE文件头结构
  50.     PIMAGE_DATA_DIRECTORY pDirectory = NULL;//
  51.     PIMAGE_EXPORT_DIRECTORY pExports = NULL;//导出表结构
  52.     ULONG nSize, Address, i;
  53.     PULONG pFunctions = NULL;
  54.     PSHORT pOrdinals = NULL;
  55.     PULONG pNames = NULL;
  56.     PVOID pFunction = NULL;
  57.     ULONG Ordinal = 0;
  59.     if(pBaseAddress == NULL)
  60.         return NULL;
  62.     pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;
  63.     pNtHeader = (PIMAGE_NT_HEADERS)((PCHAR)pBaseAddress + pDosHeader->e_lfanew);//定位到PE文件头开始地址
  64.     pDirectory = pNtHeader->OptionalHeader.DataDirectory + IMAGE_DIRECTORY_ENTRY_EXPORT;// 指向IMAGE_DIRECTORY_ENTRY_EXPORT开始处
  66.     nSize = pDirectory->Size;
  67.     Address = pDirectory->VirtualAddress;
  69.     pExports = (PIMAGE_EXPORT_DIRECTORY)((PCHAR)pBaseAddress + Address);//定位到导出表开始处
  71.     pFunctions = (PULONG)((PCHAR)pBaseAddress + pExports->AddressOfFunctions);//得到导出函数地址
  72.     pOrdinals = (PSHORT)((PCHAR)pBaseAddress + pExports->AddressOfNameOrdinals);//得到AddressOfNameOrdinals(RVA)
  73.     pNames = (PULONG)((PCHAR)pBaseAddress + pExports->AddressOfNames);//得到函数名
  75.     for(i = 0; i < pExports->NumberOfNames; i++)//开始查找
  76.     {
  77.         Ordinal = pOrdinals[i];
  78.         if(pFunctions[Ordinal] < Address || pFunctions[Ordinal] >= Address + nSize)
  79.         {
  80.             if(strcmp((PSTR)((PCHAR)pBaseAddress + pNames[i]), Name) == 0)
  81.             {
  82.                 //
  83.                 // 得到系统函数的地址
  84.                 //
  85.                 pFunction = (PCHAR)pBaseAddress + pFunctions[Ordinal];
  86.                 *OutFunc = (ULONG)pFunction;
  87.                 // 去除Windows内存保护
  88.                 //
  89.                 DisableProtection();
  90.                 // 这里需要修改系统内存数据。
  91.                 // 计算出自己函数地址的偏移量,并替换导出表中的偏移量
  92.                 //
  93.                 pFunctions[Ordinal] = (ULONG)((ULONG)InFunc - (ULONG)pBaseAddress);
  94.                 // 恢复Windows内存保护
  95.                 //
  96.                 EnableProtection();
  97.                 break;
  98.             }
  99.         }
  100.     }
  102.     return pFunction;
  103. }