IAT Hook.md

0x00 前言

要说在Hook技术里面最基础的，那就是IAT Hook，它的原理就是通过修改PE结构中的IAT表，将其替换成我们自己定义的函数，最终实现Hook，所以在进行Hook之前，我们得很清楚的PE结构，接下来我们先讲解一下怎么索引到IAT表。

0x01 PE文件格式解析

随便拖一个程序进入Uedit进行分析

这一部分就是PE文件的DOS头，先看看DOS头的结构体，咱边看结构体边分析：

typedef struct IMAGE_DOS_HEADER　　{　　      WORD e_magic;　　      WORD e_cblp;　　      WORD e_cp;　　      WORD e_crlc;　　      WORD e_cparhdr;　　      WORD e_minalloc;　　      WORD e_maxalloc;　　      WORD e_ss;　　      WORD e_sp;　　      WORD e_csum;　　      WORD e_ip;　　      WORD e_cs;　　      WORD e_lfarlc;　　      WORD e_ovno;　　      WORD e_res[4];　　      WORD e_oemid;　　      WORD e_oeminfo;　　      WORD e_res2[10];　　      DWORD e_lfanew;            　　}IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

在DOS头里面最关键是两个成员就是e_magic，e_lfanew（其他的可以忽略），e_magic就是DOS头的标识，也就是MZ，为什么是MZ呢，其实就是Mark Zbikowski，他是MS-DOS主要开发者之一，为了纪念老人家，e_lfanew就是下一个头的偏移（基于文件基址），可能有同学要有疑问了，为啥现在还要有这个DOS头呢，因为微软为了向下兼容，所以才没有删除DOS头，那么加上偏移我们来看看：

PE头也有它自己的结构体，Signature和e_magic是一个道理，这里的Signature是PE。

typedef struct IMAGE_NT_HEADERS 　　{ 　　          DWORD Signature; 　　           IMAGE_FILE_HEADER FileHeader;     IMAGE_OPTIONAL_HEADER32 OptionalHeader; 　　} IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;

选择的区域是上面结构体中的FileHeader

它也有自己的结构体，感兴趣的小伙伴可以自己去查查每个字段的具体含义，这里就不展开了：

typedef struct _IMAGE_FILE_HEADER {           WORD      Machine;                 //运行平台         WORD      NumberOfSections;        //节表数目            DWORD     TimeDateStamp;           //时间戳             DWORD     PointerToSymbolTable;            DWORD     NumberOfSymbols;         //符号数          WORD      SizeOfOptionalHeader;    //可选部首长度         WORD      Characteristics;         //文件属性 }

说完FileHeader，重点就来了，那就是OptionalHeade，除去Signature，FileHeader剩下的就是OptionalHeade：

结构体如下，我们关注其最重要的一个成员DataDirectory（数据目录），它包含了我们要替换的导入表。

typedef struct _IMAGE_OPTIONAL_HEADER {  WORD                 Magic;  BYTE                 MajorLinkerVersion;  BYTE                 MinorLinkerVersion;  DWORD                SizeOfCode;  DWORD                SizeOfInitializedData;  DWORD                SizeOfUninitializedData;  DWORD                AddressOfEntryPoint;  DWORD                BaseOfCode;  DWORD                BaseOfData;  DWORD                ImageBase;  DWORD                SectionAlignment;  DWORD                FileAlignment;  WORD                 MajorOperatingSystemVersion;  WORD                 MinorOperatingSystemVersion;  WORD                 MajorImageVersion;  WORD                 MinorImageVersion;  WORD                 MajorSubsystemVersion;  WORD                 MinorSubsystemVersion;  DWORD                Win32VersionValue;  DWORD                SizeOfImage;  DWORD                SizeOfHeaders;  DWORD                CheckSum;  WORD                 Subsystem;  WORD                 DllCharacteristics;  DWORD                SizeOfStackReserve;  DWORD                SizeOfStackCommit;  DWORD                SizeOfHeapReserve;  DWORD                SizeOfHeapCommit;  DWORD                LoaderFlags;  DWORD                NumberOfRvaAndSizes;  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];} IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

它妥妥的有十六张表，我们只关注导入表：

typedef struct _IMAGE_IMPORT_DESCRIPTOR {union {DWORD Characteristics;DWORD OriginalFirstThunk;    } DUMMYUNIONNAME;DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name;                   //指向DLL名字的RVADWORD FirstThunk;         } IMAGE_IMPORT_DESCRIPTOR;

这里面最重要的就是OriginalFirstThunk，Name，FirstThunk

其中OriginalFirstThunk，FirstThunk分别指向INT和IAT表，心心念念的IAT表终于登场了，这两个成员指向的都是同一个表，为什么这样做等下说

当我们的函数加载完成后，我们IAT指向了函数真正的地址

在IAT在加载完真正的函数地址之后，如果没有INT表来标识具体的函数名称的话，操作系统就完全不知道它加载的这个函数名称是啥，只有一个函数的实现偏移和实现，并不知道它是啥，所以才会有INT表的存在。

0x02 IAT Hook 代码编写

到此PE结构也就讲解完了，也就可以开始写IAT Hook

我们的代码应该包含以下功能：

1.定义我们自己的Hook后的函数

int WINAPI MyMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType){  return OldMessageBoxA(hWnd, "Hello NSDA", lpCaption, uType);}

我们自己的MessageBox必须和原来的MessageBox的参数一模一样，这样才能保证在调用自己的函数的时候不会报错

2.接下来就是找到IAT表

HMODULE ImageBase = GetModuleHandle(NULL);  //获得模块基地址                            PIMAGE_DOS_HEADER pDosHead = (PIMAGE_DOS_HEADER)(DWORD)ImageBase;                  DWORD dwTemp = (DWORD)pDosHead   (DWORD)pDosHead->e_lfanew;PIMAGE_NT_HEADERS pNtHead = (PIMAGE_NT_HEADERS)dwTemp;                                                           PIMAGE_OPTIONAL_HEADER pOpHead = (PIMAGE_OPTIONAL_HEADER)&pNtHead->OptionalHeader;DWORD dwInputTable = pOpHead->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;  DWORD dwTemp = (DWORD)GetModuleHandle(NULL)   dwInputTable;PIMAGE_IMPORT_DESCRIPTOR   pImport = (PIMAGE_IMPORT_DESCRIPTOR)dwTemp;PIMAGE_IMPORT_DESCRIPTOR   pCurrent = pImport;

通过GetModuleHandle获得模块基地址之后，我们就可以拿到程序的DOS头，PE头，文件头，可选头

3.接下来就是遍历IAT将其替换成我们自己函数的地址

 while (*(DWORD*)pFirstThunk != NULL)                            {      if (*(DWORD*)pFirstThunk == (DWORD)OldMessageBoxA)             {        DWORD oldProtected;        VirtualProtect(pFirstThunk, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);          memcpy(pFirstThunk, (DWORD *)&dwTemp, 4);                                            VirtualProtect(pFirstThunk, 0x1000, oldProtected, &oldProtected);                  }      pFirstThunk  ;    }

通过遍历IAT表找到MessageBox的地址之后进行替换，有一点需要注意的，需要先修改文件的页属性才能进行替换（在XP系统上不用）