开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 钩子与API截获 > 查看源码
ApiHook.h
资源名称:apihook_Code.zip [点击查看]
上传用户:jstlsd
上传日期:2007-01-13
资源大小:186k
文件大小:9k
源码类别:

钩子与API截获

开发平台:

Visual C++

ApiHook.h:源码内容
  1. //---------------------------------------------------------------------------
  2. //
  3. // ApiHook.h
  4. //
  5. // SUBSYSTEM: 
  6. // API Hooking system
  7. // MODULE:    
  8. // ApiHook is the main module of the hooking system
  9. //
  10. // DESCRIPTION:
  11. //
  12. // AUTHOR: Ivo Ivanov (ivopi@hotmail.com)
  13. //              Some part of ReplaceInOneModule() implementation is based 
  14. //              on code published by Jeffrey Richter and John Robbins.
  15. //
  16. // DATE: 2000 May 05,  version 1.0 
  17. //              2001 June 29, version 2.0
  18. //              2002 November 30. version 2.1
  19. //
  20. // FIXES:
  21. //              - 2002 May 08
  22. //                Fixed bug that used to cause an access violation 
  23. //                if a hooked application calls GetProcAddress() API with an 
  24. //                ordinal value rather than string function name. For more 
  25. //                details see the implementation of 
  26. //                CHookedFunction* CHookedFunctions::GetHookedFunction( 
  27. //                    PCSTR pszCalleeModName, PCSTR pszFuncName )
  28. //              - 2002 July 25
  29. //                A newly created object CHookedFunction must be always inserted 
  30. //                in the collection, even the HookImport() method returns FALSE. 
  31. //                This solve the problem with dynamically imported functions that 
  32. //                haven't been found in the IAT during the initial call to AddHook() 
  33. //              - 2002 August 27
  34. //                Fixed bug related to storing incorrect values of the full path 
  35. //                name of the DLL in the map. In fact we need to get only the name 
  36. //                and extension parts of the full file name.
  37. //              - 2002 November 30
  38. //                Added two methods of class CHookedFunctions 
  39. //                (GetFunctionNameFromExportSection() and GetFunctionNameByOrdinal()) 
  40. //                for handling scenarios where the function for spying is imported by 
  41. //                number. This should allow a user of the library to easily intercept 
  42. //                Windows socket APIs that are usually imported by ordinal value. 
  43. //                Added critical section in CApiHookMgr::MyGetProcAddress() method 
  44. //                                                                         
  45. //---------------------------------------------------------------------------
  47. #if !defined(_APIHOOK_H_)
  48. #define _APIHOOK_H_
  50. #if _MSC_VER > 1000
  51. #pragma once
  52. #endif // _MSC_VER > 1000
  54. //---------------------------------------------------------------------------
  55. //
  56. // Includes
  57. //
  58. //---------------------------------------------------------------------------
  59. #include <map>
  60. #include <string>
  61. using namespace std;
  62. #include "..CommonModuleInstance.h"
  63. #include "..CommonLockMgr.h"
  65. //---------------------------------------------------------------------------
  66. //
  67. // Forward declarations
  68. //
  69. //---------------------------------------------------------------------------
  71. class CModuleScope;
  72. class CHookedFunctions;
  74. //---------------------------------------------------------------------------
  75. //
  76. // class CApiHookMgr
  77. //  
  78. //---------------------------------------------------------------------------
  79. class CApiHookMgr  
  80. {
  81. public:
  82. CApiHookMgr(CModuleScope* pModuleScope);
  83. virtual ~CApiHookMgr();
  84. public:
  85. //
  86. // Hook up an API 
  87. //
  88. BOOL HookImport(
  89. PCSTR pszCalleeModName, 
  90. PCSTR pszFuncName, 
  91. PROC  pfnHook
  92. );
  93. //
  94. // Restore hooked up API function
  95. //
  96. BOOL UnHookImport(
  97. PCSTR pszCalleeModName, 
  98. PCSTR pszFuncName
  99. );
  100. // 
  101. // Hook all needed system functions in order to trap loading libraries
  102. //
  103. BOOL HookSystemFuncs();
  104. // 
  105. // Unhook all functions and restore original ones
  106. //
  107. void UnHookAllFuncs();
  108. //
  109. // Indicates whether there is hooked function
  110. //
  111. BOOL AreThereHookedFunctions();
  112. private:
  113. //
  114. // Let's allow CApiHookMgr to access private methods of CHookedFunction    
  115. //
  116. friend class CHookedFunction;
  117. //
  118. // A pointer to the main engine object
  119. //
  120. static CModuleScope* sm_pModuleScope;
  121. //
  122. // Create a critical section on the stack
  123. //
  124. static CCSWrapper sm_CritSec;
  125. //
  126. // Handle to current module
  127. //
  128. HMODULE m_hmodThisInstance;
  129. //
  130. // Container keeps track of all hacked functions
  131. // 
  132. static CHookedFunctions* sm_pHookedFunctions;
  133. //
  134. // Determines whether all system functions has been successfuly hacked
  135. //
  136. BOOL m_bSystemFuncsHooked;
  137. //
  138. // Used when a DLL is newly loaded after hooking a function
  139. //
  140. static void WINAPI HackModuleOnLoad(
  141. HMODULE hmod, 
  142. DWORD   dwFlags
  143. );
  144. //
  145. // Used to trap events when DLLs are loaded 
  146. //
  147. static HMODULE WINAPI MyLoadLibraryA(
  148. PCSTR  pszModuleName
  149. );
  150. static HMODULE WINAPI MyLoadLibraryW(
  151. PCWSTR pszModuleName
  152. );
  153. static HMODULE WINAPI MyLoadLibraryExA(
  154. PCSTR  pszModuleName, 
  155. HANDLE hFile, 
  156. DWORD  dwFlags
  157. );
  158. static HMODULE WINAPI MyLoadLibraryExW(
  159. PCWSTR pszModuleName, 
  160. HANDLE hFile, 
  161. DWORD  dwFlags
  162. );
  163. //
  164. // Returns address of replacement function if hooked function is requested
  165. //
  166. static FARPROC WINAPI MyGetProcAddress(
  167. HMODULE hmod, 
  168. PCSTR   pszProcName
  169. );
  170. //
  171. // Returns original address of the API function
  172. //
  173. static FARPROC WINAPI GetProcAddressWindows(
  174. HMODULE hmod, 
  175. PCSTR   pszProcName
  176. );
  177. //
  178. // Add a newly intercepted function to the container
  179. //
  180. BOOL AddHook(
  181. PCSTR  pszCalleeModName, 
  182. PCSTR  pszFuncName, 
  183. PROC   pfnOrig,
  184. PROC   pfnHook
  185. );
  186. //
  187. // Remove intercepted function from the container
  188. //
  189. BOOL RemoveHook(
  190. PCSTR pszCalleeModName, 
  191. PCSTR pszFuncName
  192. );
  193. };
  196. //---------------------------------------------------------------------------
  197. //
  198. // class CHookedFunction
  199. //  
  200. //---------------------------------------------------------------------------
  201. class CHookedFunction  
  202. {
  203. public:
  204. CHookedFunction(
  205. CHookedFunctions* pHookedFunctions,
  206. PCSTR             pszCalleeModName, 
  207. PCSTR             pszFuncName, 
  208. PROC              pfnOrig,
  209. PROC              pfnHook
  210. );
  211. virtual ~CHookedFunction();
  213.     PCSTR Get_CalleeModName() const;
  214. PCSTR Get_FuncName() const;
  215. PROC Get_pfnHook() const;
  216. PROC Get_pfnOrig() const;
  217. //
  218. // Set up a new hook function
  219. //
  220. BOOL HookImport();
  221. //
  222. // Restore the original API handler
  223. //
  224. BOOL UnHookImport();
  225. //
  226. // Replace the address of the function in the IAT of a specific module
  227. //
  228. BOOL ReplaceInOneModule(
  229. PCSTR   pszCalleeModName, 
  230. PROC    pfnCurrent, 
  231. PROC    pfnNew, 
  232. HMODULE hmodCaller
  233. );
  234. //
  235. // Indicates whether the hooked function is mandatory one
  236. //
  237. BOOL IsMandatory();
  239. private:
  240. CHookedFunctions* m_pHookedFunctions;
  241. BOOL              m_bHooked;
  242. char              m_szCalleeModName[MAX_PATH];
  243. char              m_szFuncName[MAX_PATH];
  244. PROC              m_pfnOrig;
  245. PROC              m_pfnHook;
  246. //
  247. // Maximum private memory address
  248. //
  249. static  PVOID   sm_pvMaxAppAddr;    
  250. //
  251. // Perform actual replacing of function pointers
  252. // 
  253. BOOL DoHook(
  254. BOOL bHookOrRestore,
  255. PROC pfnCurrent, 
  256. PROC pfnNew
  257. );
  258. //
  259. // Replace the address of a imported function entry  in all modules
  260. //
  261. BOOL ReplaceInAllModules(
  262. BOOL   bHookOrRestore,
  263. PCSTR  pszCalleeModName, 
  264. PROC   pfnCurrent, 
  265. PROC   pfnNew
  266. );
  267. };
  270. //---------------------------------------------------------------------------
  271. //
  272. // class CNocaseCmp
  273. //
  274. // Implements case-insensitive string compare
  275. //
  276. //---------------------------------------------------------------------------
  277. class CNocaseCmp
  278. {
  279. public:
  280. //
  281. // A built-in highly efficient method for case-insensitive string compare.
  282. // Returns true, when string x is less than string y
  283. //
  284. bool operator()(const string& x, const string& y) const
  285. {
  286. return ( stricmp(x.c_str(), y.c_str()) < 0 );
  287. }
  288. };
  291. //---------------------------------------------------------------------------
  292. //
  293. // class CHookedFunctions
  294. //
  295. //---------------------------------------------------------------------------
  296. class CHookedFunctions: public map<string, CHookedFunction*, CNocaseCmp>
  297. {
  298. public:
  299. CHookedFunctions(CApiHookMgr* pApiHookMgr);
  300. virtual ~CHookedFunctions();
  301. public:
  302. // 
  303. // Return the address of an CHookedFunction object
  304. //
  305. CHookedFunction* GetHookedFunction( 
  306. PCSTR pszCalleeModName, 
  307. PCSTR pszFuncName
  308. );
  309. //
  310. // Return the address of an CHookedFunction object
  311. //
  312. CHookedFunction* GetHookedFunction( 
  313. HMODULE hmod, 
  314. PCSTR   pszFuncName
  315. );
  316. //
  317. // Add a new object to the container
  318. //
  319. BOOL AddHook(CHookedFunction* pHook);
  320. //
  321. // Remove exising object pointer from the container
  322. //
  323. BOOL RemoveHook(CHookedFunction* pHook);
  324. private:
  325. //  
  326. // Return the name of the function from EAT by its ordinal value
  327. //
  328. BOOL GetFunctionNameFromExportSection(
  329. HMODULE hmodOriginal,
  330. DWORD   dwFuncOrdinalNum,
  331. PSTR    pszFuncName
  332. ); 
  333. //  
  334. // Return the name of the function by its ordinal value
  335. //
  336. void GetFunctionNameByOrdinal(
  337. PCSTR   pszCalleeModName, 
  338. DWORD   dwFuncOrdinalNum,
  339. PSTR    pszFuncName
  340. );
  344. CApiHookMgr* m_pApiHookMgr;
  345. };
  349. #endif // !defined(_APIHOOK_H_)
  350. //----------------------End of file -----------------------------------------------------