Windows API Hook 原理与应用深度解析

0x00 前言

Windows API Hook 技术最初主要用于免杀需求，但深入研究可以发现其更广泛的应用价值。本文将从基础概念到高级应用，全面解析 Windows API Hook 的原理与实现方法。

0x01 Windows API 基础

1.1 什么是 Windows API

Windows API (WinAPI) 是微软为 Windows 操作系统提供的核心应用程序编程接口，它是应用程序与 Windows 系统最直接的交互方式。

关键点：

API (Application Programming Interface)：应用程序接口，无需实现底层细节
Windows API 提供系统服务调用接口，如创建窗口、执行程序等
分为用户模式 API 和内核模式 Native API

1.2 MessageBox API 示例

#include <windows.h>
#include <iostream>
using namespace std;

int main() {
    int rtCode = MessageBox(NULL, 
        (LPCWSTR)L"内存地址越界,程序已经被终止!", 
        (LPCWSTR)L"程序出现了错误", 
        MB_ICONASTERISK|MB_OKCANCEL);
    
    cout << rtCode << endl;
    switch(rtCode) {
        case 1: cout << "选择了确定按钮!" << endl; break;
        case 2: cout << "选择了取消按钮!" << endl; break;
        default: cout << "其他操作!" << endl;
    }
    return 0;
}

参数说明：

hWnd：窗口句柄，NULL 表示无所有者窗口
lpText：显示的消息内容（多行可用回车换行分隔）
lpCaption：对话框标题
uType：控制窗口样式（按钮、图标等）
返回值：用户交互结果（确定=1，取消=2等）

0x02 Windows API 调用过程分析

使用 x64dbg 调试分析 MessageBox 调用栈：

用户代码调用 MessageBoxW
进入 user32.dll 模块的 MessageBoxTimeoutW
最终在 ntdll.dll 触发系统调用

调用流程：
用户代码 → user32.dll → ntdll.dll → 内核模式

0x03 Windows API Hook 技术

3.1 Hook 技术概述

API Hook 是一种拦截和修改 API 调用行为的技术，流程图如下：

原始调用 → Hook 处理 → 可选修改参数 → 调用原始API → 可选修改结果 → 返回

3.2 Inline Hook 实现（32位）

#include <iostream>
#include <Windows.h>

FARPROC messageBoxAddress = NULL;
SIZE_T bytesWritten = 0;
char messageBoxOriginalBytes[6] = {};

int __stdcall HookedMessageBox(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) {
    std::cout << "Ohai from the hooked function\n";
    std::cout << "Text: " << (LPCSTR)lpText << "\nCaption: " << (LPCSTR)lpCaption << std::endl;
    
    // 恢复原始字节
    WriteProcessMemory(GetCurrentProcess(), (LPVOID)messageBoxAddress, 
        messageBoxOriginalBytes, sizeof(messageBoxOriginalBytes), &bytesWritten);
    
    // 调用原始MessageBoxA
    return MessageBoxA(NULL, lpText, lpCaption, uType);
}

int main() {
    MessageBoxA(NULL, "hi", "hi", MB_OK); // 原始调用
    
    HINSTANCE library = LoadLibraryA("user32.dll");
    SIZE_T bytesRead = 0;
    messageBoxAddress = GetProcAddress(library, "MessageBoxA");
    
    // 保存原始函数前6字节
    ReadProcessMemory(GetCurrentProcess(), messageBoxAddress, 
        messageBoxOriginalBytes, 6, &bytesRead);
    
    // 构造跳转代码：push address; ret
    void* hookedMessageBoxAddress = &HookedMessageBox;
    char patch[6] = {0};
    memcpy_s(patch, 1, "\x68", 1);       // push
    memcpy_s(patch+1, 4, &hookedMessageBoxAddress, 4); // address
    memcpy_s(patch+5, 1, "\xC3", 1);     // ret
    
    // 应用Hook
    WriteProcessMemory(GetCurrentProcess(), (LPVOID)messageBoxAddress, 
        patch, sizeof(patch), &bytesWritten);
    
    MessageBoxA(NULL, "hi", "hi", MB_OK); // Hooked调用
    return 0;
}

实现原理：

获取 MessageBoxA 函数地址
保存前6字节原始指令
构造跳转指令（push + address + ret）
用 WriteProcessMemory 修改内存
调用时跳转到自定义处理函数

3.3 64位 Hook 实现

64位与32位主要区别在于地址空间和跳转方式：

BYTE OldCode[12] = {0x00};
BYTE HookCode[12] = {
    0x48, 0xB8, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, // mov rax, address
    0xFF, 0xE0                                                   // jmp rax
};

// 设置跳转地址
*(PINT64)(HookCode+2) = (UINT64)HookedMessageBox;

替代方案：

BYTE HookCode[12] = {
    0x48, 0xB8, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, // mov rax, address
    0x50, 0xC3                                                   // push rax; ret
};

0x04 Hook 检测技术

检测原理：检查 ntdll.dll 导出函数前几个字节是否被修改

// 检查Nt/Zw函数前4字节是否为标准系统调用序言
char syscallPrologue[4] = {0x4c, 0x8b, 0xd1, 0xb8};

if(memcmp(functionAddress, syscallPrologue, 4) != 0) {
    printf("Potentially hooked: %s : %p\n", functionName, functionAddress);
}

例外函数：

NtGetTickCount
NtQuerySystemTime
NtdllDefWindowProc_A/W
ZwQuerySystemTime 等

0x05 绕过 AV/EDR Hook

5.1 直接系统调用(Syscall)技术

原理：绕过用户层 hook 直接调用内核接口

实现步骤：

使用 SysWhispers 生成系统调用代码
替换高风险 API 调用

git clone https://github.com/jthuraisamy/SysWhispers.git
cd SysWhispers
pip3 install -r .\requirements.txt
py .\syswhispers.py -f NtCreateThreadEx,NtProtectVirtualMemory,NtAllocateVirtualMemory -o syscall

5.2 系统调用示例

#include "syscall.h"

// 替换VirtualAlloc
NTSTATUS NTAVM = NtAllocateVirtualMemory(hProc, &base_addr, 0, 
    (PSIZE_T)&buf_len, MEM_COMMIT|MEM_RESERVE, PAGE_READWRITE);

// 替换VirtualProtect
NTSTATUS NTPVM = NtProtectVirtualMemory(hProc, &base_addr, 
    (PSIZE_T)&buf_len, PAGE_EXECUTE_READ, &oldprotect);

// 替换CreateThread
NTSTATUS ct = NtCreateThreadEx(&handle, GENERIC_EXECUTE, NULL, hProc, 
    base_addr, NULL, FALSE, 0, 0, 0, NULL);

0x06 应用与防御

6.1 攻击应用

恶意代码注入
API 调用监控
参数篡改
免杀技术

6.2 防御措施

系统调用监控
代码完整性检查
Hook 检测
行为分析

0x07 总结

Windows API Hook 技术要点：

理解 Windows API 调用流程
掌握内存修改和跳转原理
区分32位和64位实现差异
了解检测和绕过技术
熟练使用直接系统调用方法

通过深入研究这些技术，可以更好地理解 Windows 系统工作原理，并应用于安全攻防领域。

Windows API Hook 原理与应用深度解析 0x00 前言 Windows API Hook 技术最初主要用于免杀需求，但深入研究可以发现其更广泛的应用价值。本文将从基础概念到高级应用，全面解析 Windows API Hook 的原理与实现方法。 0x01 Windows API 基础 1.1 什么是 Windows API Windows API (WinAPI) 是微软为 Windows 操作系统提供的核心应用程序编程接口，它是应用程序与 Windows 系统最直接的交互方式。关键点： API (Application Programming Interface)：应用程序接口，无需实现底层细节 Windows API 提供系统服务调用接口，如创建窗口、执行程序等分为用户模式 API 和内核模式 Native API 1.2 MessageBox API 示例参数说明： hWnd：窗口句柄，NULL 表示无所有者窗口 lpText：显示的消息内容（多行可用回车换行分隔） lpCaption：对话框标题 uType：控制窗口样式（按钮、图标等）返回值：用户交互结果（确定=1，取消=2等） 0x02 Windows API 调用过程分析使用 x64dbg 调试分析 MessageBox 调用栈：用户代码调用 MessageBoxW 进入 user32.dll 模块的 MessageBoxTimeoutW 最终在 ntdll.dll 触发系统调用调用流程：用户代码 → user32.dll → ntdll.dll → 内核模式 0x03 Windows API Hook 技术 3.1 Hook 技术概述 API Hook 是一种拦截和修改 API 调用行为的技术，流程图如下： 3.2 Inline Hook 实现（32位）实现原理：获取 MessageBoxA 函数地址保存前6字节原始指令构造跳转指令（push + address + ret）用 WriteProcessMemory 修改内存调用时跳转到自定义处理函数 3.3 64位 Hook 实现 64位与32位主要区别在于地址空间和跳转方式：替代方案： 0x04 Hook 检测技术检测原理：检查 ntdll.dll 导出函数前几个字节是否被修改例外函数： NtGetTickCount NtQuerySystemTime NtdllDefWindowProc_ A/W ZwQuerySystemTime 等 0x05 绕过 AV/EDR Hook 5.1 直接系统调用(Syscall)技术原理：绕过用户层 hook 直接调用内核接口实现步骤：使用 SysWhispers 生成系统调用代码替换高风险 API 调用 5.2 系统调用示例 0x06 应用与防御 6.1 攻击应用恶意代码注入 API 调用监控参数篡改免杀技术 6.2 防御措施系统调用监控代码完整性检查 Hook 检测行为分析 0x07 总结 Windows API Hook 技术要点：理解 Windows API 调用流程掌握内存修改和跳转原理区分32位和64位实现差异了解检测和绕过技术熟练使用直接系统调用方法通过深入研究这些技术，可以更好地理解 Windows 系统工作原理，并应用于安全攻防领域。