IAT (Import Address Table) HOOK 是一种在 Windows 程序中进行函数钩子的技术。它通过修改程序的导入地址表来实现对目标函数的替换或拦截。
在 Windows 运行时,程序需要调用其他模块(DLL)中的函数来完成特定的功能。为了实现这一点,程序会在导入地址表中存储这些函数的地址。IAT 是一个数据结构,存储了程序所依赖的外部模块的函数地址。
IAT HOOK 的基本原理是通过修改导入地址表中的函数地址,将原始函数地址替换为自定义的函数地址。这样,在程序调用原始函数时,实际上会执行被替换的自定义函数,从而实现对目标函数的拦截和修改。
火山交流群 831858564
[C++] 纯文本查看 复制代码 <火山程序 类型 = "通常" 版本 = 1 />
类 类_IATHOOK <公开 注释 = "IATHOOK类" 折叠 @输出名 = "L_IATHOOK"
@视窗.外部头文件 = "<windows.h>\r\n<stdio.h>\r\n<psapi.h>">
{
# @begin
# #ifdef _WIN64
# using IMAGE_NT_HEADERS_ARCH = IMAGE_NT_HEADERS64;
# using PIMAGE_NT_HEADERS_ARCH = PIMAGE_NT_HEADERS64; // 显式定义指针类型
# using IMAGE_THUNK_DATA_ARCH = IMAGE_THUNK_DATA64;
# using PIMAGE_THUNK_DATA_ARCH = PIMAGE_THUNK_DATA64; // 显式定义指针类型
# #define IMAGE_ORDINAL_FLAG_ARCH IMAGE_ORDINAL_FLAG64
# #else
# using IMAGE_NT_HEADERS_ARCH = IMAGE_NT_HEADERS32;
# using PIMAGE_NT_HEADERS_ARCH = PIMAGE_NT_HEADERS32; // 显式定义指针类型
# using IMAGE_THUNK_DATA_ARCH = IMAGE_THUNK_DATA32;
# using PIMAGE_THUNK_DATA_ARCH = PIMAGE_THUNK_DATA32; // 显式定义指针类型
# #define IMAGE_ORDINAL_FLAG_ARCH IMAGE_ORDINAL_FLAG32
# #endif
# // 根据架构定义PE结构
# INT_P originalMessageBoxW = 0;
# void** g_pIatEntry = nullptr;
# @end
#
方法 开始HOOK <公开 类型 = 逻辑型 @输出名 = "StartHook" @禁止流程检查 = 真>
参数 参_DLL名字 <类型 = 文本型 @输出名 = "wDll">
参数 参_函数名 <类型 = 文本型 @输出名 = "wFunc">
参数 参_回调函数 <类型 = 变整数 @输出名 = "lpCallBak">
{
变量 局_DLL <类型 = 字节集类>
变量 局_函数 <类型 = 字节集类>
局_DLL = 文本到多字节 (参_DLL名字, 假)
局_函数 = 文本到多字节 (参_函数名, 假)
@ HMODULE hModule = GetModuleHandle(NULL); // 获取当前模块句柄,NULL表示获取自身模块.
@ if (!hModule) return false; // 如果获取失败则返回false.
@
@ // 解析PE头
@ PIMAGE_DOS_HEADER dosHeader = reinterpret_cast<PIMAGE_DOS_HEADER>(hModule); // 将模块jz转换为DOS头结构.
@ if (dosHeader->e_magic != IMAGE_DOS_SIGNATURE) return false; // 检查DOS签名是否正确.
@
@ PIMAGE_NT_HEADERS_ARCH ntHeaders = reinterpret_cast<PIMAGE_NT_HEADERS_ARCH>(
@ reinterpret_cast<BYTE*>(hModule) + dosHeader->e_lfanew); // 获取NT头部结构.
@ if (ntHeaders->Signature != IMAGE_NT_SIGNATURE) return false; // 检查NT签名是否正确.
@
@ // 获取导入表
@ IMAGE_DATA_DIRECTORY importDirectory = ntHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]; // 获取导入表目录项.
@ if (importDirectory.VirtualAddress == 0) return false; // 如果没有导入表则返回false.
@
@ PIMAGE_IMPORT_DESCRIPTOR importDescriptor = reinterpret_cast<PIMAGE_IMPORT_DESCRIPTOR>(
@ reinterpret_cast<BYTE*>(hModule) + importDirectory.VirtualAddress); // 获取导入描述符数组.
@
@ // 遍历导入表
@ while (importDescriptor->Name != 0) { // 遍历每个导入DLL.
@ LPCSTR dllName = reinterpret_cast<LPCSTR>(reinterpret_cast<BYTE*>(hModule) + importDescriptor->Name); // 获取DLL名称.
@ if (_stricmp(dllName, (const char *)@<局_DLL>.GetPtr()) == 0) { // 查找user32.dll.
@ // 获取IAT和INT
@ IMAGE_THUNK_DATA_ARCH* origThunk = reinterpret_cast<IMAGE_THUNK_DATA_ARCH*>(
@ reinterpret_cast<BYTE*>(hModule) + importDescriptor->OriginalFirstThunk); // 获取原始导入地址表.
@ IMAGE_THUNK_DATA_ARCH* iatThunk = reinterpret_cast<IMAGE_THUNK_DATA_ARCH*>(
@ reinterpret_cast<BYTE*>(hModule) + importDescriptor->FirstThunk); // 获取导入地址表.
@
@ while (origThunk->u1.AddressOfData != 0) { // 遍历每个导入函数.
@ // 跳过序号导入
@ if (!(origThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG_ARCH)) { // 如果不是按序号导入.
@ PIMAGE_IMPORT_BY_NAME importByName = reinterpret_cast<PIMAGE_IMPORT_BY_NAME>(
@ reinterpret_cast<BYTE*>(hModule) + origThunk->u1.AddressOfData); // 获取导入函数名.
@
@ // 查找目标函数
@ if (strcmp(importByName->Name, (const char *)@<局_函数>.GetPtr()) == 0) { // 如果是MessageBoxW函数.
@ // 修改内存保护
@ DWORD oldProtect;
@ g_pIatEntry = reinterpret_cast<void**>(&iatThunk->u1.Function); // 获取IAT入口.
@
@ if (VirtualProtect(g_pIatEntry, sizeof(void*), PAGE_READWRITE, &oldProtect)) { // 修改内存保护为可读写.
@ // 保存原始地址并替换
@ originalMessageBoxW = reinterpret_cast<INT_P>(*g_pIatEntry); // 保存原始函数地址.
@ *g_pIatEntry = reinterpret_cast<void*>(@<参_回调函数>); // 替换为我们的钩子函数.
@
@ VirtualProtect(g_pIatEntry, sizeof(void*), oldProtect, &oldProtect); // 恢复原始内存保护.
@ FlushInstructionCache(GetCurrentProcess(), g_pIatEntry, sizeof(void*)); // 刷新指令缓存以确保更改生效.
@ return true; // 成功完成Hook,返回true.
@ }
@ }
@ }
@ ++origThunk; // 移动到下一个导入函数.
@ ++iatThunk; // 同上.
@ }
@ }
@ ++importDescriptor; // 移动到下一个导入DLL.
@ }
@ return false; // 如果未能找到或Hook目标函数,则返回false.
}
方法 卸载HOOK <公开 类型 = 逻辑型 @输出名 = "UnhookIAT" @禁止流程检查 = 真>
{
@ if (!g_pIatEntry || !originalMessageBoxW) {
@ return false;
@ }
@
@ DWORD oldProtect;
@ if (VirtualProtect(g_pIatEntry, sizeof(void*), PAGE_READWRITE, &oldProtect)) {
@ // 恢复原始地址
@ *g_pIatEntry = reinterpret_cast<void*>(originalMessageBoxW);
@
@ VirtualProtect(g_pIatEntry, sizeof(void*), oldProtect, &oldProtect);
@ FlushInstructionCache(GetCurrentProcess(), g_pIatEntry, sizeof(void*));
@
@ // 重置全局变量
@ originalMessageBoxW = 0;
@ g_pIatEntry = nullptr;
@ return true;
@ }
@ return false;
}
#
方法 取原函数地址 <公开 类型 = 变整数 @禁止流程检查 = 真>
{
@ return originalMessageBoxW;
}
方法 调用原函数 <公开 注释 = "调用所指定的类静态方法" 折叠 @嵌入式方法 = "">
参数 所欲调用的方法地址 <类型 = 变整数 注释 = "提供所欲调用类静态方法的地址,该地址可以使用"取静态方法地址"方法获取." "">
参数 返回值类型 <注释 = " 该返回值数据类型必须与被调用方法的返回值数据类型保持一致," 注释 = "否则将导致不可意料的问题." @需求类型 = 数据类型 @匹配类型 = 通用型
@返回值类型 = 0>
参数 调用参数表 <注释 = " 调用参数表的格式务必和被调用方法的参数表一致,否则将导致不" 注释 = "可意料的问题." @可扩展 = "" @匹配类型 = 通用型>
{
@ ((@<返回值类型> (CALLBACK *) (@pdt_list<调用参数表>))@<所欲调用的方法地址>) (@<调用参数表>)
}
#
}
| 
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
发表于 2025-5-17 13:54:17
主题置顶卡
沉默卡
变色卡
发表于 2025-7-25 17:15:38
扫一扫,关注易界动态