开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 钩子与API截获 > 查看源码
ApiHook.cpp
资源名称:apihook_Code.zip [点击查看]
上传用户:jstlsd
上传日期:2007-01-13
资源大小:186k
文件大小:29k
源码类别:

钩子与API截获

开发平台:

Visual C++

ApiHook.cpp:源码内容
  1. //---------------------------------------------------------------------------
  2. //
  3. // ApiHook.cpp
  4. //
  5. // SUBSYSTEM: 
  6. // API Hooking system
  7. // MODULE:    
  8. // ApiHook is the main module of the hooking system
  9. //
  10. // DESCRIPTION:
  11. //
  12. // AUTHOR: Ivo Ivanov (ivopi@hotmail.com) 
  13. //              Some part of ReplaceInOneModule() implementation is based 
  14. //              on code published by Jeffrey Richter and John Robbins.
  15. //
  16. // DATE: 2000 May 05,  version 1.0 
  17. //              2001 June 29, version 2.0
  18. //              2002 November 30. version 2.1
  19. //
  20. // FIXES:
  21. //              - 2002 May 08
  22. //                Fixed bug that used to cause an access violation 
  23. //                if a hooked application calls GetProcAddress() API with an 
  24. //                ordinal value rather than string function name. For more 
  25. //                details see the implementation of 
  26. //                CHookedFunction* CHookedFunctions::GetHookedFunction( 
  27. //                    PCSTR pszCalleeModName, PCSTR pszFuncName )
  28. //              - 2002 July 25
  29. //                In the implementation of CApiHookMgr::AddHook() method
  30. //                a newly created object CHookedFunction must be always inserted 
  31. //                in the collection, even the HookImport() method returns FALSE. 
  32. //                This solve the problem with dynamically imported functions that 
  33. //                haven't been found in the IAT during the initial call to AddHook() 
  34. //              - 2002 August 27
  35. //                Fixed bug related to storing incorrect values of the full path 
  36. //                name of the DLL in the map. In fact we need to get only the name 
  37. //                and extension parts of the full file name.
  38. //              - 2002 November 30
  39. //                Added two methods of class CHookedFunctions 
  40. //                (GetFunctionNameFromExportSection() and GetFunctionNameByOrdinal()) 
  41. //                for handling scenarios where the function for spying is imported by 
  42. //                number. This should allow a user of the library to easily intercept 
  43. //                Windows socket APIs that are usually imported by ordinal value.
  44. //                Added critical section in CApiHookMgr::MyGetProcAddress() method 
  45. //                                                                         
  46. //---------------------------------------------------------------------------
  48. //---------------------------------------------------------------------------
  49. //
  50. // Includes
  51. //  
  52. //---------------------------------------------------------------------------
  54. #include "..CommonCommon.h"
  55. #include "ApiHook.h"
  56. #include "..CommonSysUtils.h"
  57. #include "..CommonLockMgr.h"
  58. #include "..CommonCustomMessages.h"
  59. #include <imagehlp.h>
  60. #pragma comment(lib, "imagehlp.lib")
  61. #include "ModuleScope.h"
  63. //---------------------------------------------------------------------------
  64. //
  65. // class CApiHookMgr
  66. //  
  67. //---------------------------------------------------------------------------
  69. //---------------------------------------------------------------------------
  70. //
  71. // File scope constants and typedefs
  72. //
  73. //---------------------------------------------------------------------------
  74. typedef struct 
  75. {
  76. char szCalleeModName[MAX_PATH]; 
  77. char szFuncName[MAX_PATH];
  78. } API_FUNC_ID;
  80. const API_FUNC_ID MANDATORY_API_FUNCS[] =
  81. {
  82. {"Kernel32.dll", "LoadLibraryA"},
  83. {"Kernel32.dll", "LoadLibraryW"},
  84. {"Kernel32.dll", "LoadLibraryExA"},
  85. {"Kernel32.dll", "LoadLibraryExW"},
  86. {"Kernel32.dll", "GetProcAddress"}
  87. };
  89. // This macro evaluates to the number of elements in MANDATORY_API_FUNCS
  90. #define NUMBER_OF_MANDATORY_API_FUNCS (sizeof(MANDATORY_API_FUNCS) / sizeof(MANDATORY_API_FUNCS[0])) 
  92. //---------------------------------------------------------------------------
  93. //
  94. // Static members
  95. //
  96. //---------------------------------------------------------------------------
  98. CModuleScope*     CApiHookMgr::sm_pModuleScope     = NULL;
  99. CHookedFunctions* CApiHookMgr::sm_pHookedFunctions = NULL;
  100. CCSWrapper        CApiHookMgr::sm_CritSec;
  102. //---------------------------------------------------------------------------
  103. // CApiHookMgr
  104. // 
  105. // Ctor
  106. //---------------------------------------------------------------------------
  107. CApiHookMgr::CApiHookMgr(
  108. CModuleScope* pModuleScope
  109. )
  110. {
  111. sm_pModuleScope = pModuleScope;
  112. //
  113. // Obtain the handle to the DLL which code executes
  114. //
  115. m_hmodThisInstance   = ModuleFromAddress(CApiHookMgr::MyGetProcAddress);
  116. //
  117. // No system functions have been hooked up yet
  118. //
  119. m_bSystemFuncsHooked = FALSE;
  120. //
  121. // Create an instance of the map container
  122. //
  123. sm_pHookedFunctions  = new CHookedFunctions(this); 
  124. }
  126. //---------------------------------------------------------------------------
  127. // ~CApiHookMgr
  128. // 
  129. // Dtor
  130. //---------------------------------------------------------------------------
  132. CApiHookMgr::~CApiHookMgr()
  133. {
  134. UnHookAllFuncs();
  135. delete sm_pHookedFunctions;
  136. }
  138. //---------------------------------------------------------------------------
  139. // HookSystemFuncs
  140. // 
  141. // Hook all needed system functions in order to trap loading libraries
  142. //---------------------------------------------------------------------------
  143. BOOL CApiHookMgr::HookSystemFuncs()
  144. {
  145. BOOL bResult;
  147. if (TRUE != m_bSystemFuncsHooked)
  148. {
  149. bResult = HookImport(
  150. "Kernel32.dll", 
  151. "LoadLibraryA", 
  152. (PROC) CApiHookMgr::MyLoadLibraryA
  153. );
  154. bResult = HookImport(
  155. "Kernel32.dll", 
  156. "LoadLibraryW",
  157. (PROC) CApiHookMgr::MyLoadLibraryW
  158. ) || bResult;
  159. bResult = HookImport(
  160. "Kernel32.dll", 
  161. "LoadLibraryExA",
  162. (PROC) CApiHookMgr::MyLoadLibraryExA
  163. ) || bResult;
  164. bResult = HookImport(
  165. "Kernel32.dll", 
  166. "LoadLibraryExW",
  167. (PROC) CApiHookMgr::MyLoadLibraryExW
  168. ) || bResult;
  169. bResult = HookImport(
  170. "Kernel32.dll", 
  171. "GetProcAddress",
  172. (PROC) CApiHookMgr::MyGetProcAddress
  173. ) || bResult;
  174. m_bSystemFuncsHooked = bResult;
  175. } // if
  177. return m_bSystemFuncsHooked;
  178. }
  180. //---------------------------------------------------------------------------
  181. // UnHookAllFuncs
  182. // 
  183. // Unhook all functions and restore original ones
  184. //---------------------------------------------------------------------------
  185. void CApiHookMgr::UnHookAllFuncs()
  186. {
  187. if (TRUE == m_bSystemFuncsHooked)
  188. {
  189. CHookedFunction* pHook;
  190. CHookedFunctions::const_iterator itr;
  191. for (itr = sm_pHookedFunctions->begin(); 
  192. itr != sm_pHookedFunctions->end(); 
  193. ++itr)
  194. {
  195. pHook = itr->second;
  196. pHook->UnHookImport();
  197. delete pHook;
  198. } // for
  199. sm_pHookedFunctions->clear();
  200. m_bSystemFuncsHooked = FALSE;
  201. } // if
  202. }
  204. //
  205. // Indicates whether there is hooked function
  206. //
  207. BOOL CApiHookMgr::AreThereHookedFunctions()
  208. {
  209. return (sm_pHookedFunctions->size() > 0);
  210. }
  213. //---------------------------------------------------------------------------
  214. // HookImport
  215. //
  216. // Hook up an API function
  217. //---------------------------------------------------------------------------
  218. BOOL CApiHookMgr::HookImport(
  219. PCSTR pszCalleeModName, 
  220. PCSTR pszFuncName, 
  221. PROC  pfnHook
  222. )
  223. {
  224. CLockMgr<CCSWrapper>  lockMgr(sm_CritSec, TRUE);
  226. BOOL                  bResult = FALSE;
  227. PROC                  pfnOrig = NULL;
  228. try
  229. {
  230. if (!sm_pHookedFunctions->GetHookedFunction(
  231. pszCalleeModName, 
  232. pszFuncName
  233. ))
  234. {
  235. pfnOrig = GetProcAddressWindows(
  236. ::GetModuleHandleA(pszCalleeModName),
  237. pszFuncName
  238. );
  239. //
  240. // It's possible that the requested module is not loaded yet
  241. // so lets try to load it.
  242. //
  243. if (NULL == pfnOrig)
  244. {
  245. HMODULE hmod = ::LoadLibraryA(pszCalleeModName);
  246. if (NULL != hmod)
  247. pfnOrig = GetProcAddressWindows(
  248. ::GetModuleHandleA(pszCalleeModName),
  249. pszFuncName
  250. );
  251. } // if
  252. if (NULL != pfnOrig)
  253. bResult = AddHook(
  254. pszCalleeModName, 
  255. pszFuncName, 
  256. pfnOrig,
  257. pfnHook
  258. );
  259. } // if
  260. }
  261. catch(...)
  262. {
  264. } // try..catch
  266. return bResult;
  267. }
  269. //---------------------------------------------------------------------------
  270. // UnHookImport
  271. //
  272. // Restores original API function address in IAT
  273. //---------------------------------------------------------------------------
  274. BOOL CApiHookMgr::UnHookImport(
  275. PCSTR pszCalleeModName, 
  276. PCSTR pszFuncName
  277. )
  278. {
  279. CLockMgr<CCSWrapper>  lockMgr(sm_CritSec, TRUE);
  281. BOOL bResult = TRUE;
  282. try
  283. {
  284. bResult = RemoveHook(pszCalleeModName, pszFuncName);
  285. }
  286. catch (...)
  287. {
  288. }
  289. return bResult;
  290. }
  292. //---------------------------------------------------------------------------
  293. // AddHook
  294. //
  295. // Add a hook to the internally supported container
  296. //---------------------------------------------------------------------------
  297. BOOL CApiHookMgr::AddHook(
  298. PCSTR pszCalleeModName, 
  299. PCSTR pszFuncName, 
  300. PROC  pfnOrig,
  301. PROC  pfnHook
  302. )
  303. {
  304. BOOL             bResult = FALSE;
  305. CHookedFunction* pHook   = NULL;
  307. if (!sm_pHookedFunctions->GetHookedFunction(
  308. pszCalleeModName, 
  309. pszFuncName
  310. ))
  311. {
  312. pHook = new CHookedFunction(
  313. sm_pHookedFunctions,
  314. pszCalleeModName, 
  315. pszFuncName, 
  316. pfnOrig,
  317. pfnHook
  318. );
  319. // We must create the hook and insert it in the container
  320. pHook->HookImport();
  321. bResult = sm_pHookedFunctions->AddHook(pHook);
  322. } // if
  324. return bResult;
  325. }
  327. //---------------------------------------------------------------------------
  328. // RemoveHook
  329. //
  330. // Remove a hook from the internally supported container
  331. //---------------------------------------------------------------------------
  332. BOOL CApiHookMgr::RemoveHook(
  333. PCSTR pszCalleeModName, 
  334. PCSTR pszFuncName
  335. )
  336. {
  337. BOOL             bResult = FALSE;
  338. CHookedFunction *pHook   = NULL;
  340. pHook = sm_pHookedFunctions->GetHookedFunction(
  341. pszCalleeModName, 
  342. pszFuncName
  343. );
  344. if ( NULL != pHook )
  345. {
  346. bResult = pHook->UnHookImport();
  347. if ( bResult )
  348. {
  349. bResult = sm_pHookedFunctions->RemoveHook( pHook );
  350. if ( bResult )
  351. delete pHook;
  352. } // if
  353. } // if
  355. return bResult;
  356. }
  359. //---------------------------------------------------------------------------
  360. // HackModuleOnLoad
  361. //
  362. // Used when a DLL is newly loaded after hooking a function
  363. //---------------------------------------------------------------------------
  364. void WINAPI CApiHookMgr::HackModuleOnLoad(HMODULE hmod, DWORD dwFlags)
  365. {
  366. //
  367. // If a new module is loaded, just hook it
  368. //
  369. if ((hmod != NULL) && ((dwFlags & LOAD_LIBRARY_AS_DATAFILE) == 0)) 
  370. {
  371. CLockMgr<CCSWrapper>  lockMgr(sm_CritSec, TRUE);
  373. CHookedFunction* pHook;
  374. CHookedFunctions::const_iterator itr;
  375. for (itr = sm_pHookedFunctions->begin(); 
  376. itr != sm_pHookedFunctions->end(); 
  377. ++itr)
  378. {
  379. pHook = itr->second;
  380. pHook->ReplaceInOneModule(
  381. pHook->Get_CalleeModName(), 
  382. pHook->Get_pfnOrig(), 
  383. pHook->Get_pfnHook(), 
  384. hmod
  385. );
  386. } // for
  387. } // if
  388. }
  390. //---------------------------------------------------------------------------
  391. //
  392. // System API hooks prototypes
  393. //
  394. //---------------------------------------------------------------------------
  396. //---------------------------------------------------------------------------
  397. // MyLoadLibraryA
  398. //
  399. // 
  400. //---------------------------------------------------------------------------
  401. HMODULE WINAPI CApiHookMgr::MyLoadLibraryA(PCSTR pszModuleName)
  402. {
  403. HMODULE hmod = ::LoadLibraryA(pszModuleName);
  404. HackModuleOnLoad(hmod, 0);
  406. return hmod;
  407. }
  409. //---------------------------------------------------------------------------
  410. // MyLoadLibraryW
  411. //
  412. // 
  413. //---------------------------------------------------------------------------
  414. HMODULE WINAPI CApiHookMgr::MyLoadLibraryW(PCWSTR pszModuleName)
  415. {
  416. HMODULE hmod = ::LoadLibraryW(pszModuleName);
  417. HackModuleOnLoad(hmod, 0);
  419. return hmod;
  420. }
  422. //---------------------------------------------------------------------------
  423. // MyLoadLibraryExA
  424. //
  425. // 
  426. //---------------------------------------------------------------------------
  427. HMODULE WINAPI CApiHookMgr::MyLoadLibraryExA(
  428. PCSTR  pszModuleName, 
  429. HANDLE hFile, 
  430. DWORD dwFlags)
  431. {
  432. HMODULE hmod = ::LoadLibraryExA(pszModuleName, hFile, dwFlags);
  433. HackModuleOnLoad(hmod, 0);
  435. return hmod;
  436. }
  438. //---------------------------------------------------------------------------
  439. // MyLoadLibraryExW
  440. //
  441. // 
  442. //---------------------------------------------------------------------------
  443. HMODULE WINAPI CApiHookMgr::MyLoadLibraryExW(
  444. PCWSTR pszModuleName, 
  445. HANDLE hFile, 
  446. DWORD dwFlags)
  447. {
  448. HMODULE hmod = ::LoadLibraryExW(pszModuleName, hFile, dwFlags);
  449. HackModuleOnLoad(hmod, 0);
  451. return hmod;
  452. }
  454. //---------------------------------------------------------------------------
  455. // MyGetProcAddress
  456. //
  457. // 
  458. //---------------------------------------------------------------------------
  459. FARPROC WINAPI CApiHookMgr::MyGetProcAddress(HMODULE hmod, PCSTR pszProcName)
  460. {
  461. // It is possible that multiple threads will call hooked GetProcAddress() 
  462. // API, therefore we should make it thread safe because it accesses sm_pHookedFunctions 
  463. // shared container.
  464. CLockMgr<CCSWrapper>  lockMgr(sm_CritSec, TRUE);
  465. //
  466. // Get the original address of the function
  467. //
  468. FARPROC pfn = GetProcAddressWindows(hmod, pszProcName);
  469. //
  470. // Attempt to locate if the function has been hijacked
  471. //
  472. CHookedFunction* pFuncHook = 
  473. sm_pHookedFunctions->GetHookedFunction(
  474. hmod, 
  475. pszProcName
  476. );
  478. if (NULL != pFuncHook)
  479. //
  480. // The address to return matches an address we want to hook
  481. // Return the hook function address instead
  482. //
  483. pfn = pFuncHook->Get_pfnHook();
  485. return pfn;
  486. }
  488. //---------------------------------------------------------------------------
  489. // GetProcAddressWindows
  490. //
  491. // Returns original address of the API function
  492. //---------------------------------------------------------------------------
  493. FARPROC WINAPI CApiHookMgr::GetProcAddressWindows(HMODULE hmod, PCSTR pszProcName)
  494. {
  495. return ::GetProcAddress(hmod, pszProcName);
  496. }
  498. //---------------------------------------------------------------------------
  499. //
  500. // class CHookedFunction
  501. //  
  502. //---------------------------------------------------------------------------
  504. //
  505. // The highest private memory address (used for Windows 9x only)
  506. //
  507. PVOID CHookedFunction::sm_pvMaxAppAddr = NULL;
  508. //
  509. // The PUSH opcode on x86 platforms
  510. //
  511. const BYTE cPushOpCode = 0x68;   
  513. //---------------------------------------------------------------------------
  514. // CHookedFunction
  515. //  
  516. //
  517. //---------------------------------------------------------------------------
  518. CHookedFunction::CHookedFunction(
  519. CHookedFunctions* pHookedFunctions,
  520. PCSTR             pszCalleeModName, 
  521. PCSTR             pszFuncName, 
  522. PROC              pfnOrig,
  523. PROC              pfnHook
  524. ):
  525. m_pHookedFunctions(pHookedFunctions),
  526. m_bHooked(FALSE),
  527. m_pfnOrig(pfnOrig),
  528. m_pfnHook(pfnHook)
  529. {
  530. strcpy(m_szCalleeModName, pszCalleeModName); 
  531. strcpy(m_szFuncName, pszFuncName);
  533. if (sm_pvMaxAppAddr == NULL) 
  534. {
  535. //
  536. // Functions with address above lpMaximumApplicationAddress require
  537. // special processing (Windows 9x only)
  538. //
  539. SYSTEM_INFO si;
  540. GetSystemInfo(&si);
  541. sm_pvMaxAppAddr = si.lpMaximumApplicationAddress;
  542. } // if
  543.    
  544. if (m_pfnOrig > sm_pvMaxAppAddr) 
  545. {
  546. //
  547. // The address is in a shared DLL; the address needs fixing up 
  548. //
  549. PBYTE pb = (PBYTE) m_pfnOrig;
  550. if (pb[0] == cPushOpCode) 
  551. {
  552. //
  553. // Skip over the PUSH op code and grab the real address
  554. //
  555. PVOID pv = * (PVOID*) &pb[1];
  556. m_pfnOrig = (PROC) pv;
  557. } // if
  558. } // if
  559. }
  562. //---------------------------------------------------------------------------
  563. // ~CHookedFunction
  564. //  
  565. //
  566. //---------------------------------------------------------------------------
  567. CHookedFunction::~CHookedFunction()
  568. {
  569. UnHookImport();
  570. }
  573. PCSTR CHookedFunction::Get_CalleeModName() const
  574. {
  575. return const_cast<PCSTR>(m_szCalleeModName);
  576. }
  578. PCSTR CHookedFunction::Get_FuncName() const
  579. {
  580. return const_cast<PCSTR>(m_szFuncName);
  581. }
  583. PROC CHookedFunction::Get_pfnHook() const
  584. {
  585. return m_pfnHook;
  586. }
  588. PROC CHookedFunction::Get_pfnOrig() const
  589. {
  590. return m_pfnOrig;
  591. }
  593. //---------------------------------------------------------------------------
  594. // HookImport
  595. //  
  596. // Set up a new hook function
  597. //---------------------------------------------------------------------------
  598. BOOL CHookedFunction::HookImport()
  599. {
  600. m_bHooked = DoHook(TRUE, m_pfnOrig, m_pfnHook);
  601. return m_bHooked;
  602. }
  604. //---------------------------------------------------------------------------
  605. // UnHookImport
  606. //  
  607. // Restore the original API handler
  608. //---------------------------------------------------------------------------
  609. BOOL CHookedFunction::UnHookImport()
  610. {
  611. if (m_bHooked)
  612. m_bHooked = !DoHook(FALSE, m_pfnHook, m_pfnOrig);
  613. return !m_bHooked;
  614. }
  616. //---------------------------------------------------------------------------
  617. // ReplaceInAllModules
  618. //  
  619. // Replace the address of a imported function entry  in all modules
  620. //---------------------------------------------------------------------------
  621. BOOL CHookedFunction::ReplaceInAllModules(
  622. BOOL  bHookOrRestore,
  623. PCSTR pszCalleeModName, 
  624. PROC  pfnCurrent, 
  625. PROC  pfnNew
  627. {
  628. BOOL bResult = FALSE;
  630. if ((NULL != pfnCurrent) && (NULL != pfnNew))
  631. {
  632. BOOL                bReplace  = FALSE;
  633. CExeModuleInstance  *pProcess = NULL;
  634. CTaskManager        taskManager; 
  635. CModuleInstance     *pModule;
  636. //
  637. // Retrieves information about current process and modules. 
  638. // The taskManager dynamically decides whether to use ToolHelp 
  639. // library or PSAPI
  640. //
  641. taskManager.PopulateProcess(::GetCurrentProcessId(), TRUE);
  642. pProcess = taskManager.GetProcessById(::GetCurrentProcessId());
  643. if (NULL != pProcess)
  644. {
  645. // Enumerates all modules loaded by (pProcess) process
  646. for (int i = 0; i < pProcess->GetModuleCount(); i++)
  647. {
  648. pModule = pProcess->GetModuleByIndex(i);
  649. bReplace = 
  650. (pModule->Get_Module() != ModuleFromAddress(CApiHookMgr::MyLoadLibraryA)); 
  652. // We don't hook functions in our own modules
  653. if (bReplace)
  654. // Hook this function in this module
  655. bResult = ReplaceInOneModule(
  656. pszCalleeModName, 
  657. pfnCurrent, 
  658. pfnNew, 
  659. pModule->Get_Module()
  660. ) || bResult;
  662. } // for
  663. // Hook this function in the executable as well
  664. bResult = ReplaceInOneModule(
  665. pszCalleeModName, 
  666. pfnCurrent, 
  667. pfnNew, 
  668. pProcess->Get_Module()
  669. ) || bResult;
  670. } // if
  671. } // if
  672. return bResult;
  673. }
  676. //---------------------------------------------------------------------------
  677. // ReplaceInOneModule
  678. //  
  679. // Replace the address of the function in the IAT of a specific module
  680. //---------------------------------------------------------------------------
  681. BOOL CHookedFunction::ReplaceInOneModule(
  682. PCSTR   pszCalleeModName, 
  683. PROC    pfnCurrent, 
  684. PROC    pfnNew, 
  685. HMODULE hmodCaller
  687. {
  688. BOOL bResult = FALSE;
  689. __try
  690. {
  691. ULONG ulSize;
  692. // Get the address of the module's import section
  693. PIMAGE_IMPORT_DESCRIPTOR pImportDesc = 
  694. (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(
  695. hmodCaller, 
  696. TRUE, 
  697. IMAGE_DIRECTORY_ENTRY_IMPORT, 
  698. &ulSize
  699. );
  700. // Does this module has import section ?
  701. if (pImportDesc == NULL)
  702. __leave;  
  703. // Loop through all descriptors and
  704. // find the import descriptor containing references to callee's functions
  705. while (pImportDesc->Name)
  706. {
  707. PSTR pszModName = (PSTR)((PBYTE) hmodCaller + pImportDesc->Name);
  708. if (stricmp(pszModName, pszCalleeModName) == 0) 
  709. break;   // Found
  710. pImportDesc++;
  711. } // while
  712. // Does this module import any functions from this callee ?
  713. if (pImportDesc->Name == 0)
  714. __leave;  
  715. // Get caller's IAT 
  716. PIMAGE_THUNK_DATA pThunk = 
  717. (PIMAGE_THUNK_DATA)( (PBYTE) hmodCaller + pImportDesc->FirstThunk );
  718. // Replace current function address with new one
  719. while (pThunk->u1.Function)
  720. {
  721. // Get the address of the function address
  722. PROC* ppfn = (PROC*) &pThunk->u1.Function;
  723. // Is this the function we're looking for?
  724. BOOL bFound = (*ppfn == pfnCurrent);
  725. // Is this Windows 9x
  726. if (!bFound && (*ppfn > sm_pvMaxAppAddr)) 
  727. {
  728. PBYTE pbInFunc = (PBYTE) *ppfn;
  729. // Is this a wrapper (debug thunk) represented by PUSH instruction?
  730. if (pbInFunc[0] == cPushOpCode) 
  731. {
  732. ppfn = (PROC*) &pbInFunc[1];
  733. // Is this the function we're looking for?
  734. bFound = (*ppfn == pfnCurrent);
  735. } // if
  736. } // if
  738. if (bFound) 
  739. {
  740. MEMORY_BASIC_INFORMATION mbi;
  741. ::VirtualQuery(ppfn, &mbi, sizeof(MEMORY_BASIC_INFORMATION));
  742. // In order to provide writable access to this part of the 
  743. // memory we need to change the memory protection
  744. if (FALSE == ::VirtualProtect(
  745. mbi.BaseAddress,
  746. mbi.RegionSize,
  747. PAGE_READWRITE,
  748. &mbi.Protect)
  749. )
  750. __leave;
  751. // Hook the function.
  752.                 *ppfn = *pfnNew;
  753. bResult = TRUE;
  754. // Restore the protection back
  755.                 DWORD dwOldProtect;
  756. ::VirtualProtect(
  757. mbi.BaseAddress,
  758. mbi.RegionSize,
  759. mbi.Protect,
  760. &dwOldProtect
  761. );
  762. break;
  763. } // if
  764. pThunk++;
  765. } // while
  766. }
  767. __finally
  768. {
  769. // do nothing
  770. }
  771. // This function is not in the caller's import section
  772. return bResult;
  773. }
  775. //---------------------------------------------------------------------------
  776. // DoHook
  777. //  
  778. // Perform actual replacing of function pointers
  779. //---------------------------------------------------------------------------
  780. BOOL CHookedFunction::DoHook(
  781. BOOL bHookOrRestore,
  782. PROC pfnCurrent, 
  783. PROC pfnNew
  784. )
  785. {
  786. // Hook this function in all currently loaded modules
  787. return ReplaceInAllModules(
  788. bHookOrRestore, 
  789. m_szCalleeModName, 
  790. pfnCurrent, 
  791. pfnNew
  792. );
  793. }
  795. //
  796. // Indicates whether the hooked function is mandatory one
  797. //
  798. BOOL CHookedFunction::IsMandatory()
  799. {
  800. BOOL bResult = FALSE;
  801. API_FUNC_ID apiFuncId;
  802. for (int i = 0; i < NUMBER_OF_MANDATORY_API_FUNCS; i++)
  803. {
  804. apiFuncId = MANDATORY_API_FUNCS[i];
  805. if ( (0==stricmp(apiFuncId.szCalleeModName, m_szCalleeModName)) &&
  806.      (0==stricmp(apiFuncId.szFuncName, m_szFuncName)) )
  807. {
  808. bResult = TRUE;
  809. break;
  810. } // if
  811. } // for
  813. return bResult;
  814. }
  816. //---------------------------------------------------------------------------
  817. // 
  818. // class CHookedFunctions 
  819. //
  820. //---------------------------------------------------------------------------
  822. CHookedFunctions::CHookedFunctions(CApiHookMgr* pApiHookMgr):
  823. m_pApiHookMgr(pApiHookMgr)
  824. {
  826. }
  828. CHookedFunctions::~CHookedFunctions()
  829. {
  831. }
  834. //---------------------------------------------------------------------------
  835. // GetHookedFunction
  836. //  
  837. // Return the address of an CHookedFunction object
  838. //---------------------------------------------------------------------------
  839. CHookedFunction* CHookedFunctions::GetHookedFunction(
  840. HMODULE hmodOriginal, 
  841. PCSTR   pszFuncName
  842. )
  843. {
  844. char szFileName[MAX_PATH];
  845. ::GetModuleFileName(hmodOriginal, szFileName, MAX_PATH);
  846. // We must extract only the name and the extension
  847. ExtractModuleFileName(szFileName);
  849. return GetHookedFunction(szFileName, pszFuncName);
  850. }
  852. //---------------------------------------------------------------------------
  853. // GetFunctionNameFromExportSection
  854. //  
  855. // Return the name of the function from EAT by its ordinal value
  856. //---------------------------------------------------------------------------
  857. BOOL CHookedFunctions::GetFunctionNameFromExportSection(
  858. HMODULE hmodOriginal,
  859. DWORD   dwFuncOrdinalNum,
  860. PSTR    pszFuncName
  862. {
  863. BOOL bResult = FALSE;
  864. // Make sure we return a valid string (atleast an empty one)
  865. strcpy(pszFuncName, "");
  866. __try
  867. {
  868. ULONG ulSize;
  869. // Get the address of the module's export section
  870. PIMAGE_EXPORT_DIRECTORY pExportDir = 
  871. (PIMAGE_EXPORT_DIRECTORY)ImageDirectoryEntryToData(
  872. hmodOriginal, 
  873. TRUE, 
  874. IMAGE_DIRECTORY_ENTRY_EXPORT, 
  875. &ulSize
  876. );
  877. // Does this module has export section ?
  878. if (pExportDir == NULL)
  879. __leave;  
  880. // Get the name of the DLL
  881. PSTR pszDllName = reinterpret_cast<PSTR>( pExportDir->Name + (DWORD)hmodOriginal);
  882. // Get the starting ordinal value. By default is 1, but
  883. // is not required to be so
  884. DWORD dwFuncNumber = pExportDir->Base;
  885. // The number of entries in the EAT
  886. DWORD dwNumberOfExported = pExportDir->NumberOfFunctions;
  887. // Get the address of the ENT
  888. PDWORD pdwFunctions = (PDWORD)( pExportDir->AddressOfFunctions + (DWORD)hmodOriginal);
  889. //  Get the export ordinal table
  890. PWORD pwOrdinals = (PWORD)(pExportDir->AddressOfNameOrdinals + (DWORD)hmodOriginal);
  891. // Get the address of the array with all names
  892. DWORD *pszFuncNames = (DWORD *)(pExportDir->AddressOfNames + (DWORD)hmodOriginal);
  894. PSTR pszExpFunName;
  896. // Walk through all of the entries and try to locate the
  897. // one we are looking for
  898. for (long i = 0; i < dwNumberOfExported; i++, pdwFunctions++)
  899. {
  900. DWORD entryPointRVA = *pdwFunctions;
  901. if ( entryPointRVA == 0 )   // Skip over gaps in exported function
  902. continue;               // ordinals (the entrypoint is 0 for
  903. // these functions).
  904. // See if this function has an associated name exported for it.
  905. for ( unsigned j=0; j < pExportDir->NumberOfNames; j++ )
  906. {
  907. // Note that pwOrdinals[x] return values starting form 0.. (not from 1)
  908. if ( pwOrdinals[j] == i  )
  909. {
  910. pszExpFunName = (PSTR)(pszFuncNames[j] + (DWORD)hmodOriginal);
  911. // Is this the same ordinal value ?
  912. // Notice that we need to add 1 to pwOrdinals[j] to get actual 
  913. // number
  914. if (dwFuncOrdinalNum == pwOrdinals[j] + 1)
  915. {
  916. if ((pszExpFunName != NULL) && (strlen(pszExpFunName) > 0))
  917. strcpy(pszFuncName, pszExpFunName);
  918. __leave;
  919. }
  920. }
  921. }
  922. } // for
  923. }
  924. __finally
  925. {
  926. // do nothing
  927. }
  928. // This function is not in the caller's import section
  929. return bResult;
  930. }
  932. //---------------------------------------------------------------------------
  933. // GetFunctionNameByOrdinal
  934. //  
  935. // Return the name of the function by its ordinal value
  936. //---------------------------------------------------------------------------
  937. void CHookedFunctions::GetFunctionNameByOrdinal(
  938. PCSTR   pszCalleeModName, 
  939. DWORD   dwFuncOrdinalNum,
  940. PSTR    pszFuncName
  941. )
  942. {
  943. HMODULE hmodOriginal = ::GetModuleHandle(pszCalleeModName);
  944. // Take the name from the export section of the DLL
  945. GetFunctionNameFromExportSection(hmodOriginal, dwFuncOrdinalNum, pszFuncName);
  946. }
  950. //---------------------------------------------------------------------------
  951. // GetHookedFunction
  952. //  
  953. // Return the address of an CHookedFunction object
  954. //---------------------------------------------------------------------------
  955. CHookedFunction* CHookedFunctions::GetHookedFunction( 
  956. PCSTR   pszCalleeModName, 
  957. PCSTR   pszFuncName
  958. )
  959. {
  960. CHookedFunction* pHook = NULL;
  961. char szFuncName[MAX_PATH];
  962. //
  963. // Prevent accessing invalid pointers and examine values 
  964. // for APIs exported by ordinal
  965. //
  966. if ( (pszFuncName) && 
  967.      ((DWORD)pszFuncName > 0xFFFF) && 
  968.  strlen(pszFuncName) ) 
  969. {
  970. strcpy(szFuncName, pszFuncName);
  971. } // if
  972. else
  973. {
  974. GetFunctionNameByOrdinal(pszCalleeModName, (DWORD)pszFuncName, szFuncName);
  975. }
  976. // Search in the map only if we have found the name of the requested function
  977. if (strlen(szFuncName) > 0)
  978. {
  979. char szKey[MAX_PATH];
  980. sprintf(
  981. szKey, 
  982. "<%s><%s>", 
  983. pszCalleeModName,
  984. szFuncName
  985. );
  986. // iterators can be used to check if an entry is in the map
  987. CHookedFunctions::const_iterator citr = find( szKey );
  988. if ( citr != end() )
  989. pHook = citr->second;
  990. } // if
  992. return pHook;
  993. }
  997. //---------------------------------------------------------------------------
  998. // AddHook
  999. //  
  1000. // Add a new object to the container
  1001. //---------------------------------------------------------------------------
  1002. BOOL CHookedFunctions::AddHook(CHookedFunction* pHook)
  1003. {
  1004. BOOL bResult = FALSE;
  1005. if (NULL != pHook)
  1006. {
  1007. char szKey[MAX_PATH];
  1008. sprintf(
  1009. szKey, 
  1010. "<%s><%s>", 
  1011. pHook->Get_CalleeModName(),
  1012. pHook->Get_FuncName()
  1013. );
  1014. // Find where szKey is or should be
  1015. CHookedFunctions::iterator lb = lower_bound(szKey);
  1016. //
  1017. // when an "add" is performed, insert() is more efficient
  1018. // than operator[].
  1019. // For more details see -item 24 page 109 "Effective STL" by Meyers
  1020. //
  1021. // Adds pair(pszKey, pObject) to the map
  1022. insert( lb, value_type(szKey, pHook) );
  1023. //
  1024. // added to the map
  1025. //
  1026. bResult = TRUE;
  1027. } // if
  1028. return bResult;
  1029. }
  1031. //---------------------------------------------------------------------------
  1032. // RemoveHook
  1033. //  
  1034. // Remove exising object pointer from the container
  1035. //---------------------------------------------------------------------------
  1036. BOOL CHookedFunctions::RemoveHook(CHookedFunction* pHook)
  1037. {
  1038. BOOL bResult = FALSE;
  1039. try
  1040. {
  1041. if (NULL != pHook)
  1042. {
  1043. char szKey[MAX_PATH];
  1044. sprintf(
  1045. szKey, 
  1046. "<%s><%s>", 
  1047. pHook->Get_CalleeModName(),
  1048. pHook->Get_FuncName()
  1049. );
  1050. //
  1051. // Find where szKey is located 
  1052. //
  1053. CHookedFunctions::iterator itr = find(szKey);
  1054. if (itr != end())
  1055. {
  1056. delete itr->second;
  1057. erase(itr);
  1058. }
  1059. bResult = TRUE;
  1060. } // if
  1061. }
  1062. catch (...)
  1063. {
  1064. bResult = FALSE;
  1065. }
  1066. return bResult;
  1067. }
  1068. //----------------------End of file -----------------------------------------