MadCHook详解

MadCHook 是一个强大的Windows API Hooking库，主要用于注入和挂钩（hook）Windows API函数。该库由madshi.net开发，广泛用于各种合法和恶意软件中进行API Hooking操作。API Hooking是一种技术，通过拦截和重定向API函数调用，可以修改或监视应用程序的行为。

MadCHook 功能概述

1. API Hooking

   • 拦截系统API调用，修改函数行为。

2. DLL注入

   • 注入DLL到目标进程，进行进程内操作。

3. 进程间通信

   • 提供安全高效的进程间通信机制。

4. 支持多种Hooking方法

   • Inline Hooking、IAT Hooking、EAT Hooking等。

使用MadCHook实现简单API Hooking

下面展示如何使用MadCHook实现一个简单的API Hooking示例。这个示例将拦截MessageBoxW函数，修改其行为。

步骤1：下载MadCHook库

从madshi.net获取MadCHook库，并解压到项目目录。

步骤2：创建一个DLL文件

创建一个DLL项目，编写以下代码：

// dllmain.cpp
#include <windows.h>
#include "madCHook.h"// 声明原始的MessageBoxW函数类型
typedef int (WINAPI *MessageBoxW_t)(HWND, LPCWSTR, LPCWSTR, UINT);
MessageBoxW_t TrueMessageBoxW = NULL;// 自定义MessageBoxW函数
int WINAPI HookedMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) {return TrueMessageBoxW(hWnd, L"Hooked!", lpCaption, uType);
}// DLL入口点
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {switch (ul_reason_for_call) {case DLL_PROCESS_ATTACH:InitializeMadCHook();// Hook MessageBoxW函数TrueMessageBoxW = (MessageBoxW_t)HookAPI("user32.dll", "MessageBoxW", HookedMessageBoxW);break;case DLL_PROCESS_DETACH:// 解除HookUnhookAPI((PVOID*)&TrueMessageBoxW);FinalizeMadCHook();break;}return TRUE;
}

步骤3：编译DLL

使用Visual Studio或其他编译器将上述代码编译成DLL文件。例如，生成名为myhook.dll的文件。

步骤4：创建注入器

编写一个注入器，将上述DLL注入目标进程（例如，notepad.exe）。

// injector.cpp
#include <windows.h>
#include <tlhelp32.h>
#include <iostream>DWORD FindProcessId(const std::wstring& processName) {PROCESSENTRY32 processInfo;processInfo.dwSize = sizeof(processInfo);HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);if (snapshot == INVALID_HANDLE_VALUE) {return 0;}Process32First(snapshot, &processInfo);if (!processName.compare(processInfo.szExeFile)) {CloseHandle(snapshot);return processInfo.th32ProcessID;}while (Process32Next(snapshot, &processInfo)) {if (!processName.compare(processInfo.szExeFile)) {CloseHandle(snapshot);return processInfo.th32ProcessID;}}CloseHandle(snapshot);return 0;
}int main() {const std::wstring processName = L"notepad.exe";const std::wstring dllPath = L"C:\\path\\to\\myhook.dll";DWORD processId = FindProcessId(processName);if (processId == 0) {std::wcerr << L"Could not find process" << std::endl;return 1;}HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processId);if (hProcess == NULL) {std::wcerr << L"Could not open process" << std::endl;return 1;}LPVOID pDllPath = VirtualAllocEx(hProcess, 0, dllPath.size() * sizeof(wchar_t), MEM_COMMIT, PAGE_READWRITE);WriteProcessMemory(hProcess, pDllPath, dllPath.c_str(), dllPath.size() * sizeof(wchar_t), NULL);HANDLE hThread = CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)LoadLibraryW, pDllPath, 0, 0);if (hThread == NULL) {std::wcerr << L"Could not create remote thread" << std::endl;VirtualFreeEx(hProcess, pDllPath, 0, MEM_RELEASE);CloseHandle(hProcess);return 1;}WaitForSingleObject(hThread, INFINITE);VirtualFreeEx(hProcess, pDllPath, 0, MEM_RELEASE);CloseHandle(hThread);CloseHandle(hProcess);std::wcout << L"Injection succeeded" << std::endl;return 0;
}

步骤5：编译注入器并执行

编译上述代码生成注入器可执行文件，然后运行注入器，将myhook.dll注入目标进程（如notepad.exe）。

injector.exe

运行效果

运行注入器后，打开记事本（notepad.exe），执行任何触发MessageBoxW函数的操作，你会发现所有的消息框内容被替换为“Hooked!”。

总结

MadCHook是一个强大的API Hooking工具，可以方便地实现各种进程注入和Hooking操作。通过了解和掌握这类工具的使用方法，可以帮助开发者进行系统调试、功能扩展，同时也有助于安全研究人员理解和防范潜在的安全威胁。在实际应用中，需要合理合法地使用这些技术，避免非法用途。