elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  El arte del API Hooking.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: El arte del API Hooking.  (Leído 2,661 veces)
fary
Moderador
***
Desconectado Desconectado

Mensajes: 957



Ver Perfil WWW
El arte del API Hooking.
« en: 12 Diciembre 2015, 21:18 »

Bueno, en este texto voy a intentar explicar de que se trata el API hooking.

Una descripción rapida de lo que es este metodo sería algo así: realizar un gancho a una función del sistema para poder modificar su retorno o bién sus parametros.

¿Que podemos hacer con este metodo?

Pues de todo lo que se nos ocurra desde ocultar archivos, procesos, hasta espiar conversaciones de skype, bloquear llamadas al sistema de detecminados procesos, etc.


¿Que nociones debo tener para aplicar correctamente esta técnica?


Se deberá tener nociones de ensamblador, ademas el ejemplo que aquí usare esta en FASM, además de saber manejar un poco Ollydbg.


¿En que consiste dicha técnica?

Consiste en modificar los primeros bytes de la funcion que queremos hookear,  en esos primeros bytes escribiremos un salto a nuestra funcion (Que emulara la función original pero con los parametros que nosotros queramos).

Para modificar los primeros bytes de la API deberémos dar permisos de escritura y ejecución ya que si no no podremos escribir nuestro salto.


Dicho todo esto pasemos al código y a aprender su funcionamiento.

En este caso hookearemos la API  MessageBoxA, para ello crearemos nuestro propio ejecutable:

Código
  1. include 'win32ax.inc'
  2.  
  3. .data
  4.        msg1            db 'hola',0
  5.  
  6.  
  7. .code
  8. start:
  9.  
  10.    invoke MessageBoxA,0,msg1,0,0
  11.    ret
  12.  
  13. .end start                    

la salida del programa es la siguiente:



Obtetivo: que nuestro programa cante lo que nosotros queramos.

El primer paso será ver el inicio de la API desde el olly DBG para que cuando nosotros escribamos el salto no dejemos ninguna instruccion a medias (si dejamos alguna instruccion a medias nuestro programa petara)

Asique abrimos OllyDbg y vemos que contiene el inicio de la API.



A nosotros en realidad solo nos interesan los primero 5 bytes, que es lo que ocupa el salto (jmp + Direccion).

En este caso nos viene perfecto ya que las 3 primeras instrucciones:

Código
  1. mov edi, edi
  2. push ebp
  3. mov ebp, esp

Ocupan exactamente 5 bytes.

Bien, copiamos esas 3 instrucciones y las guardamos en un archivo de texto para no olvidarlas, ya que nos harán falta mas adelante.

Una vez hecho esto, lo que haremos será lo siguiente, obtendremos la dirección de MessageBoxA, y sobreescribiremos sus primeros bytes para que salte a nuestra función.

Código
  1. include 'win32ax.inc'
  2.  
  3. .data
  4.        msg1            db 'hola',0
  5.        USER32          db 'USER32.DLL',0
  6.        funcion         db 'MessageBoxA',0
  7.        dirfun          dd ?
  8.        proteccion      dd ?
  9.  
  10. .code
  11. start:
  12.  
  13.    call Hook
  14.  
  15.    invoke MessageBoxA,0,msg1,0,0
  16.    ret
  17.  
  18.    proc Hook
  19.        invoke LoadLibrary, USER32
  20.        invoke GetProcAddress,eax,funcion   ; Obtenemos la  direccion de la función
  21.        mov [dirfun],eax
  22.  
  23.        mov ebx,eax
  24.  
  25.        mov eax, mMessageBox     ; Calculamos el salto relativo.
  26.        sub eax,ebx
  27.        sub eax,5
  28.  
  29.  
  30.        push eax
  31.  
  32.        invoke VirtualProtect,[dirfun],5,PAGE_EXECUTE_READWRITE,addr proteccion   ; damos derechos de acceso.
  33.  
  34.        pop eax
  35.  
  36.        mov ebx, [dirfun]
  37.  
  38.        mov byte[ebx],0xE9  ;escribimos un jmp al inicio de la API verdadera
  39.        inc ebx
  40.        mov dword[ebx],eax   ; escribimos el salto que tiene que dar en el inicio de la api verdadera
  41.        add ebx,4
  42.  
  43.        ret
  44.    endp
  45.  
  46.    proc mMessageBox     ; Funcion que saltará cuando el programa llame a la API Original
  47.  
  48.        ret
  49.    endp
  50.  
  51. .end start    


El texto esta comentado pero de igual forma puntualizaré algunas cosillas.

1- Para poder escribir sobre la API original es OBLIGATORIO dar derechos de escritura, en este ejemplo esto se hace con VirtualProtect
2- Tendremos que calcular el salto relativo a nuestra función,  como se ve claramente en el código
3- Llegados a este punto ya tenemos establecido el hook por lo que si probamos a ejecutar el programa de arriba no imprimira nada en pantalla, ya que hemos roto los primeros bytes de la API, es más, queda totalmente inutilizada llegados a este punto.

Ahora tendremos que programar la funcion mMessageBox, para que cante lo que nosotros queramos.

Algunos datos que tenemos que tener en cuenta es que los valores que se introdujeron en la pila sigue ahí, junto con la dirección de retorno de la función, nosotros tendremos que recuperar la funcion de retorno para que el programa siga su ejecución correctamente.

Para aplicar esto debemos saber que, al realizar un call lo que hace el procesador es introducir en la pila la siguiente instruccion que se ejecutara cuando la función a la que llamamos retorne. Por eso lo que nosotros hacemos será recuperarla, introducir lo que nosotros queramos que cante la API, ejecutar los primeros bytes originales de la API y saltar a la dirección original de la API + 5 bytes (recordemos que en esos primeros 5 bytes esta el hook, por eso los emulamos desde nuestra funcion).

Ahí va el código completo del hook comentado.

Código
  1. include 'win32ax.inc'
  2.  
  3. .data
  4.        msg1            db 'hola',0
  5.        USER32          db 'USER32.DLL',0
  6.        funcion         db 'MessageBoxA',0
  7.        dirfun          dd ?
  8.        proteccion      dd ?
  9.        msghook         db 'API Hookeada!',0
  10.  
  11. .code
  12. start:
  13.  
  14.    call Hook
  15.  
  16.    invoke MessageBoxA,0,msg1,0,0
  17.    ret
  18.  
  19.    proc Hook
  20.        invoke LoadLibrary, USER32
  21.        invoke GetProcAddress,eax,funcion   ; Obtenemos la  direccion de la función
  22.        mov [dirfun],eax
  23.  
  24.        mov ebx,eax
  25.  
  26.        mov eax, mMessageBox     ; Calculamos el salto relativo.
  27.        sub eax,ebx
  28.        sub eax,5
  29.  
  30.  
  31.        push eax
  32.  
  33.        invoke VirtualProtect,[dirfun],5,PAGE_EXECUTE_READWRITE,addr proteccion   ; damos derechos de acceso.
  34.  
  35.        pop eax
  36.  
  37.        mov ebx, [dirfun]
  38.  
  39.        mov byte[ebx],0xE9  ;escribimos un jmp al inicio de la API verdadera
  40.        inc ebx
  41.        mov dword[ebx],eax   ; escribimos el salto que tiene que dar en el inicio de la api verdadera
  42.        add ebx,4
  43.  
  44.        ret
  45.    endp
  46.  
  47.    proc mMessageBox     ; Funcion que saltará cuando el programa llame a la API Original
  48.        pop eax       ; obtenemos la direccion de retorno que introdujo el call
  49.  
  50.        pop ebx       ; sacamos los parametros original que se pasaron a la API
  51.        pop ebx
  52.        pop ebx
  53.        pop ebx
  54.  
  55.        push 0       ; Introducimos los parametros que queremos que ejecute nuestra API
  56.        push 0
  57.        push msghook
  58.        push 0
  59.  
  60.        push eax     ; Introducimos la direccion de retorno original
  61.  
  62.        mov edi, edi    ; Ejecutamos los 5 primeros bytes originales de la API
  63.        push ebp
  64.        mov ebp, esp
  65.  
  66.        mov ebx, [dirfun]   ; Calculamos el salto hacia la API original
  67.        add ebx,5
  68.  
  69.        jmp ebx           ; Saltamos a la direccion de la API original + 5 bytes
  70.  
  71.        ret
  72.    endp
  73.  
  74. .end start

Ejecutamos nuestro programa y veremos que solo cantará lo que nosotros queramos.  :D



¿Pero, como puedo hookear una función que esta en otro proceso?

Estando en su mismo proceso, esto se puede conseguir inyectando nuestra DLL con el hook en el proceso o bién desde una inyección de código.

Bueno pues de momento eso ha sido todo, lo he intentado explicar de manera simple y para que se entienda bien.

Decir también que los ejemplos han sido desarrollados y probados en una máquina x64 con Windows 7.

Cualquier duda o colsulta será respondida gustosamente.

saludos!

« Última modificación: 12 Diciembre 2015, 22:10 por fary » En línea

Un byte a la izquierda.
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.352


S3C M4NI4C


Ver Perfil
Re: [En construccion] El arte del API Hooking.
« Respuesta #1 en: 12 Diciembre 2015, 21:23 »

Un tema muy interesante y obligatorio para aquellos interesados en ingeniería inversa o malware.

Hace tiempo hice un template en C++, le pasas el typedef de la función original y luego llamas a la función Hook() pasándole el  puntero a la función original y a la sustituta y ello solo redirecciona las llamadas de la original a la última.

https://github.com/FreeJaus/gea-PRISM/blob/master/Programming/DirectX%20Overlay/Tibia%20Suite%20Unmanaged/APIHook.h

Saludos y lo leeré cuando lo publiques ;)
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

fary
Moderador
***
Desconectado Desconectado

Mensajes: 957



Ver Perfil WWW
Re: El arte del API Hooking.
« Respuesta #2 en: 12 Diciembre 2015, 22:00 »

Hola kub0x !

El problema en tu código es que imagínate que las primeras instrucciones no ocupan la longitud que tu esperas, que crees que pasaría?  :laugh:

Lo que yo hice para implementar eso mismo fue hacer una tabla con las instrucciones mas comunes que solían aparecer en los primeros bytes y ya calcular cuando ocupaban.

saludos.
En línea

Un byte a la izquierda.
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.352


S3C M4NI4C


Ver Perfil
Re: El arte del API Hooking.
« Respuesta #3 en: 12 Diciembre 2015, 22:12 »

Me ha gustado, hace poco me también me animé a hacerlo en ASM y se ve más bonito. Otra funcionalidad sería unhookear la API, hacer la llamada original, hacer tus cosillas y rehookear. ¿Seguirás publicando?

Sobre mi code, tienes razón, juego con que el prólogo ocupa generalmente 6 bytes, hasta ahora no he tenido problemas, aunque tampoco habré hookeado más de 30 APIs.

Saludos!
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

fary
Moderador
***
Desconectado Desconectado

Mensajes: 957



Ver Perfil WWW
Re: El arte del API Hooking.
« Respuesta #4 en: 12 Diciembre 2015, 22:25 »

Para hacer eso, solo hay que establecer una bandera, para que nuestro gancho sepa cuando modificar los parámetros y cuando no, fíjate:

Código
  1. include 'win32ax.inc'
  2.  
  3. .data
  4.        msg1            db 'hola',0
  5.        USER32          db 'USER32.DLL',0
  6.        funcion         db 'MessageBoxA',0
  7.        dirfun          dd ?
  8.        proteccion      dd ?
  9.        msghook         db 'API Hookeada!',0
  10.  
  11.        HookState       dd 0
  12.  
  13. .code
  14. start:
  15.  
  16.    call Hook
  17.  
  18.    invoke MessageBoxA,0,msg1,0,0
  19.  
  20.    mov [HookState],1      ; No Hook
  21.  
  22.    invoke MessageBoxA,0,msg1,0,0
  23.  
  24.    mov [HookState],0   ; Hook de nuevo
  25.  
  26.    invoke MessageBoxA,0,msg1,0,0
  27.  
  28.    ret
  29.  
  30.    proc Hook
  31.        mov [HookState],0
  32.  
  33.        invoke LoadLibrary, USER32
  34.        invoke GetProcAddress,eax,funcion   ; Obtenemos la  direccion de la función
  35.        mov [dirfun],eax
  36.  
  37.        mov ebx,eax
  38.  
  39.        mov eax, mMessageBox     ; Calculamos el salto relativo.
  40.        sub eax,ebx
  41.        sub eax,5
  42.  
  43.  
  44.        push eax
  45.  
  46.        invoke VirtualProtect,[dirfun],5,PAGE_EXECUTE_READWRITE,addr proteccion   ; damos derechos de acceso.
  47.  
  48.        pop eax
  49.  
  50.        mov ebx, [dirfun]
  51.  
  52.        mov byte[ebx],0xE9  ;escribimos un jmp al inicio de la API verdadera
  53.        inc ebx
  54.        mov dword[ebx],eax   ; escribimos el salto que tiene que dar en el inicio de la api verdadera
  55.        add ebx,4
  56.  
  57.        ret
  58.    endp
  59.  
  60.    proc mMessageBox     ; Funcion que saltará cuando el programa llame a la API Original
  61.        cmp [HookState],1 ; Si no queremos que se establezca el hook
  62.        je NoHook
  63.  
  64.        pop eax       ; obtenemos la direccion de retorno que introdujo el call
  65.  
  66.        pop ebx       ; sacamos los parametros original que se pasaron a la API
  67.        pop ebx
  68.        pop ebx
  69.        pop ebx
  70.  
  71.        push 0       ; Introducimos los parametros que queremos que ejecute nuestra API
  72.        push 0
  73.        push msghook
  74.        push 0
  75.  
  76.        push eax
  77.  
  78.        NoHook:
  79.  
  80.        mov edi, edi    ; Ejecutamos los 5 primeros bytes originales de la API
  81.        push ebp
  82.        mov ebp, esp
  83.  
  84.        mov ebx, [dirfun]   ; Calculamos el salto hacia la API original
  85.        add ebx,5
  86.  
  87.        jmp ebx           ; Saltamos a la direccion de la API original + 5 bytes
  88.  
  89.        ret
  90.    endp
  91.  
  92. .end start      

Sí, si la gente se interesa seguiré escribiendo cosillas.
En línea

Un byte a la izquierda.
zerointhewill

Desconectado Desconectado

Mensajes: 24


Ver Perfil
Re: El arte del API Hooking.
« Respuesta #5 en: 18 Enero 2016, 03:35 »

claro pe man excelente muy bueno en verdad  :D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Api Hooking en VB « 1 2 »
Programación Visual Basic
Freeze. 15 5,324 Último mensaje 18 Febrero 2008, 15:56
por Freeze.
Simple Hooking Example
Programación Visual Basic
ntaryl 0 590 Último mensaje 10 Julio 2008, 23:50
por ntaryl
API Hooking (C++) « 1 2 »
Programación C/C++
HaX991 11 5,491 Último mensaje 12 Julio 2010, 18:20
por Eternal Idol
Hooking & Detouring
Programación General
er_davids 1 990 Último mensaje 27 Agosto 2010, 02:15
por franfis
Win32 API Hooking
Hacking Ético
nts94 0 1,610 Último mensaje 9 Febrero 2012, 23:54
por nts94
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines