截取程序的網絡封包（Delphi Hook API）

有時候咱們須要對其它應用程序發送和接收的網絡數據進行攔截,好比要對IE發送的**頭進行分析,獲得請求的地址等.此次咱們能夠用一些例如WPE, Sniffer之類的工具來達到目的.可是工具功能有限,要想實現更強大的功能,仍是咱們本身動手來DIY吧. 

攔截網絡數據封包的方法有三種,一是將網卡設爲混雜模式,此次就能夠監視到局域網上全部的數據包,二是HOOK目標進程的發送和接收的API函數,第三種方法是本身實現一個代理的DLL.在這裏咱們使用HOOK API的方法,這樣易於實現,並且也不會獲得大量的無用數據(如第一種方法就會監視到全部的網絡數據). 

下面是一個儘可能簡化了的API HOOK的模版,原理是利用消息鉤子將DLL中的代碼注入到目標進程中,再用GetProcAddress獲得API函數入口地址,將函數入口址改成本身定義的函數入口,這樣就獲得了API函數的相應參數,處理完後,再改回真實API函數入口地址,並調用它. 
HOOK.DLL的代碼:

Delphi代碼 

 

1. library Hook;   
2.   
3. uses   
4. SysUtils,   
5. windows,   
6. Messages,   
7. APIHook in 'APIHook.pas';   
8.   
9. type   
10. PData = ^TData;   
11. TData = record   
12. Hook: THandle;   
13. Hooked: Boolean;   
14. end;   
15.   
16. var   
17. DLLData: PData;   
18.   
19. {------------------------------------}   
20. {過程名:HookProc   
21. {過程功能:HOOK過程   
22. {過程參數:nCode, wParam, lParam消息的相   
23. { 關參數   
24. {------------------------------------}   
25. procedure HookProc(nCode, wParam, lParam: LongWORD);stdcall;   
26. begin   
27. if not DLLData^.Hooked then   
28. begin   
29. HookAPI;   
30. DLLData^.Hooked := True;   
31. end;   
32. //調用下一個Hook   
33. CallNextHookEx(DLLData^.Hook, nCode, wParam, lParam);   
34. end;   
35.   
36.   
37. {------------------------------------}   
38. {函數名:InstallHook   
39. {函數功能:在指定窗口上安裝HOOK   
40. {函數參數:sWindow:要安裝HOOK的窗口   
41. {返回值:成功返回TRUE,失敗返回FALSE   
42. {------------------------------------}   
43. function InstallHook(SWindow: LongWORD):Boolean;stdcall;   
44. var   
45. ThreadID: LongWORD;   
46. begin   
47. Result := False;   
48. DLLData^.Hook := 0;   
49. ThreadID := GetWindowThreadProcessId(sWindow, nil);   
50. //給指定窗口掛上鉤子   
51. DLLData^.Hook := SetWindowsHookEx(WH_GETMESSAGE, @HookProc, Hinstance, ThreadID);   
52. if DLLData^.Hook > 0 then   
53. Result := True //是否成功HOOK   
54. else   
55. exit;   
56. end;   
57.   
58. {------------------------------------}   
59. {過程名:UnHook   
60. {過程功能:卸載HOOK   
61. {過程參數:無   
62. {------------------------------------}   
63. procedure UnHook;stdcall;   
64. begin   
65. UnHookAPI;   
66. //卸載Hook   
67. UnhookWindowsHookEx(DLLData^.Hook);   
68. end;   
69.   
70. {------------------------------------}   
71. {過程名:DLL入口函數   
72. {過程功能:進行DLL初始化,釋放等   
73. {過程參數:DLL狀態   
74. {------------------------------------}   
75. procedure MyDLLHandler(Reason: Integer);   
76. var   
77. FHandle: LongWORD;   
78. begin   
79. case Reason of   
80. DLL_PROCESS_ATTACH:   
81. begin //創建文件映射,以實現DLL中的全局變量   
82. FHandle := CreateFileMapping($FFFFFFFF, nil, PAGE_READWRITE, 0, $ffff, 'MYDLLDATA');   
83. if FHandle = 0 then   
84. if GetLastError = ERROR_ALREADY_EXISTS then   
85. begin   
86. FHandle := OpenFileMapping(FILE_MAP_ALL_ACCESS, False, 'MYDLLDATA');   
87. if FHandle = 0 then Exit;   
88. end else Exit;   
89. DLLData := MapViewOfFile(FHandle, FILE_MAP_ALL_ACCESS, 0, 0, 0);   
90. if DLLData = nil then   
91. CloseHandle(FHandle);   
92. end;   
93. DLL_PROCESS_DETACH:   
94. begin   
95. if Assigned(DLLData) then   
96. begin   
97. UnmapViewOfFile(DLLData);   
98. DLLData := nil;   
99. end;   
100. end;   
101. end;   
102. end;   
103.   
104. {$R *.res}   
105. exports   
106. InstallHook, UnHook, HookProc;   
107.   
108. begin   
109. DLLProc := @MyDLLHandler;   
110. MyDLLhandler(DLL_PROCESS_ATTACH);   
111. DLLData^.Hooked := False;   
112. end.   
113.   
114. ----------------------------------------------------------------------------------------   
115. APIHook.Pas的代碼:   
116.   
117. unit APIHook;   
118.   
119. interface   
120.   
121. uses   
122. SysUtils,   
123. Windows, WinSock;   
124.   
125. type   
126. //要HOOK的API函數定義   
127. TSockProc = function (s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;   
128.   
129. PJmpCode = ^TJmpCode;   
130. TJmpCode = packed record   
131. JmpCode: BYTE;   
132. Address: TSockProc;   
133. MovEAX: Array [0..2] of BYTE;   
134. end;   
135.   
136. //--------------------函數聲明---------------------------   
137. procedure HookAPI;   
138. procedure UnHookAPI;   
139.   
140. var   
141. OldSend, OldRecv: TSockProc; //原來的API地址   
142. JmpCode: TJmpCode;   
143. OldProc: array [0..1] of TJmpCode;   
144. AddSend, AddRecv: pointer; //API地址   
145. TmpJmp: TJmpCode;   
146. ProcessHandle: THandle;   
147. implementation   
148.   
149. {---------------------------------------}   
150. {函數功能:Send函數的HOOK   
151. {函數參數:同Send   
152. {函數返回值:integer   
153. {---------------------------------------}   
154. function MySend(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;   
155. var   
156. dwSize: cardinal;   
157. begin   
158. //這兒進行發送的數據處理   
159. MessageBeep(1000); //簡單的響一聲   
160. //調用直正的Send函數   
161. WriteProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);   
162. Result := OldSend(S, Buf, len, flags);   
163. JmpCode.Address := @MySend;   
164. WriteProcessMemory(ProcessHandle, AddSend, @JmpCode, 8, dwSize);   
165. end;   
166.   
167. {---------------------------------------}   
168. {函數功能:Recv函數的HOOK   
169. {函數參數:同Recv   
170. {函數返回值:integer   
171. {---------------------------------------}   
172. function MyRecv(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;   
173. var   
174. dwSize: cardinal;   
175. begin   
176. //這兒進行接收的數據處理   
177. MessageBeep(1000); //簡單的響一聲   
178. //調用直正的Recv函數   
179. WriteProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);   
180. Result := OldRecv(S, Buf, len, flags);   
181. JmpCode.Address := @MyRecv;   
182. WriteProcessMemory(ProcessHandle, AddRecv, @JmpCode, 8, dwSize);   
183. end;   
184.   
185. {------------------------------------}   
186. {過程功能:HookAPI   
187. {過程參數:無   
188. {------------------------------------}   
189. procedure HookAPI;   
190. var   
191. DLLModule: THandle;   
192. dwSize: cardinal;   
193. begin   
194. ProcessHandle := GetCurrentProcess;   
195. DLLModule := LoadLibrary('ws2_32.dll');   
196. AddSend := GetProcAddress(DLLModule, 'send'); //取得API地址   
197. AddRecv := GetProcAddress(DLLModule, 'recv');   
198. JmpCode.JmpCode := $B8;   
199. JmpCode.MovEAX[0] := $FF;   
200. JmpCode.MovEAX[1] := $E0;   
201. JmpCode.MovEAX[2] := 0;   
202. ReadProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);   
203. JmpCode.Address := @MySend;   
204. WriteProcessMemory(ProcessHandle, AddSend, @JmpCode, 8, dwSize); //修改Send入口   
205. ReadProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);   
206. JmpCode.Address := @MyRecv;   
207. WriteProcessMemory(ProcessHandle, AddRecv, @JmpCode, 8, dwSize); //修改Recv入口   
208. OldSend := AddSend;   
209. OldRecv := AddRecv;   
210. end;   
211.   
212. {------------------------------------}   
213. {過程功能:取消HOOKAPI   
214. {過程參數:無   
215. {------------------------------------}   
216. procedure UnHookAPI;   
217. var   
218. dwSize: Cardinal;   
219. begin   
220. WriteProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);   
221. WriteProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);   
222. end;   
223.   
224. end.   

 

--------------------------------------------------------------------------------------------- 
編譯這個DLL後,再新建一個程序調用這個DLL的InstallHook並傳入目標進程的主窗口句柄就可:

Delphi代碼 

 

1. unit fmMain;   
2.   
3. interface   
4.   
5. uses   
6. Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,   
7. Dialogs, StdCtrls;   
8.   
9. type   
10. TForm1 = class(TForm)   
11. Button1: TButton;   
12. Button2: TButton;   
13. Edit1: TEdit;   
14. procedure Button1Click(Sender: TObject);   
15. procedure Button2Click(Sender: TObject);   
16. private   
17. { Private declarations }   
18. public   
19. { Public declarations }   
20. end;   
21.   
22. var   
23. Form1: TForm1;   
24. InstallHook: function (SWindow: THandle):Boolean;stdcall;   
25. UnHook: procedure;stdcall;   
26. implementation   
27.   
28. {$R *.dfm}   
29.   
30. procedure TForm1.Button1Click(Sender: TObject);   
31. var   
32. ModuleHandle: THandle;   
33. TmpWndHandle: THandle;   
34. begin   
35. TmpWndHandle := 0;   
36. TmpWndHandle := FindWindow(nil, '目標窗口的標題');   
37. if not isWindow(TmpWndHandle) then   
38. begin   
39. MessageBox(self.Handle, '沒有找到窗口', '!!!', MB_OK);   
40. exit;   
41. end;   
42. ModuleHandle := LoadLibrary('Hook.dll');   
43. @InstallHook := GetProcAddress(ModuleHandle, 'InstallHook');   
44. @UnHook := GetProcAddress(ModuleHandle, 'UnHook');   
45. if InstallHook(FindWindow(nil, 'Untitled')) then   
46. ShowMessage('Hook OK');   
47. end;   
48.   
49. procedure TForm1.Button2Click(Sender: TObject);   
50. begin   
51. UnHook   
52. end;   
53.   
54. end.