纯C#实现Hook功能详解

发布一个自己写的用于Hook .Net方法的类库，代码量不大，完全的C#代码实现，是一个比较有趣的功能，分享出来希望能和大家共同探讨

安装：Install-Package DotNetDetour

源码：http://xiazai./201701/yuanma/DotNetDetour_jb51.rar

1.为何想做这个

说到hook大家都应该不陌生，就是改变函数的执行流程，让本应该执行的函数跑到另一个函数中执行，这是个很有用也很有趣的功能（例如获取函数参数信息，改变函数执行流程，计算函数执行时间等等），杀软中主防的原理就是hook，通过hook拦截函数获取参数信息来判断是否是危险行为，但这类程序大多是C++的，一直以来我都想实现可以hook .net函数的库，网上搜索了很多，但都不理想，所以想自己实现一个

2.实现原理

我采用的是inline hook的方式，因为我对.net虚拟机以及一些内部的结构并不是很熟悉，并且有些东西的确找不到任何文档，所以就采用原生代码的inline hook的方式来实现。

首先说一下inline hook的基本原理，它是通过修改函数的前5字节指令为jmp xxxxxxxx来实现的，例如一个C#方法：

用windbg调试查看方法信息：

查看已经jit了的原生代码:

这里的地址(0x008c0640)可以通过MethodInfo.MethodHandle.GetFunctionPointer().ToPointer()方法获取

到了这里，我们就知道了修改从push ebp开始的5个字节为jmp跳转指令，跳入我们自己的函数就可以达到hook的目的，但执行到我们的函数后，如果我们并不是要拦截执行流程，那么我们最终是需要再调用原函数的，但原函数已经被修改了，这会想到的办法就是恢复那修改的5字节指令，但这又会引发另一个问题，就是当我们恢复时，正好另一个线程调用到这个函数，那么程序将会崩溃，或者说漏掉一次函数调用，修改时暂停其他线程并等待正跑在其中的CPU执行完这5字节再去恢复指令也许是个不错的办法，但感觉并不容易实现，而且影响性能，所以我放弃了这种办法

那么如何才能调用修改前的函数呢，我首先想到是C中写裸函数的方式，即自己用汇编拼出来一个原函数再执行：

原函数前5字节指令+jmp跳转指令

但其实这也是不可行的，聪明的人已经发现，图中所示的函数的前5字节并不是一个完整的汇编指令，不同的函数，长度都不一样，.net的函数并不像某些原生函数那样，会预留mov edi,edi这样的正好5字节的指令，我先想到的是复制函数的所有汇编指令生成新的函数，但这样也会出问题，因为像E8,E9这样的相对跳转指令，如果指令地址变了，那么跳转的位置也就变了，程序就会崩溃，所以这也不可行。

到了这里，我有些不耐烦了，毕竟我是要hook所有函数的，而不是某个固定的函数，而函数入口的指令又不相同，这可怎么办，难道我需要计算出大于等于5字节的最小完整汇编指令长度？

按照这个思路，最终找到了一个用C写的反汇编库（BlackBone），其中提供了类似的方法，我稍作了修改后试用了下，的确不错，可以准确求出汇编指令长度，例如

push ebp

mov ebp,esp

mov eax,dword ptr ds:[33F22ACh]

求出值是9，这样我根据求出的值动态拼接一个函数出来即可，哈哈，到了这里，感觉实现的差不多了，但没想到64位下又给了我当头一棒，之前的原函数指令可以写成：

大于等于5字节的最小完整汇编指令+jmp跳转指令即可构成我们的原函数

但我们知道，C#中要想执行汇编，是需要用Marshal.AllocHGlobal来分配非托管空间的，而这样分配的地址与我们要跳转到的原函数的地址在64位下是超过2GB地址范围的，一般的跳转指令是无法实现的，所以想到了用ret指令实现，而64位地址又不能直接push，所以最后写出如下汇编：

push rax

mov rax,target_addr

push rax

mov rax,qword ptr ss:[rsp+8]

ret 8

由于某些C#函数竟然第一行就是修改rax寄存器的值，所以只能是先保存rax，推入堆栈后再恢复，这里汇编操作就方便多了，之前实现另一个东西，用到IL指令，但发现只有dup这种复制栈顶元素的指令，却没有获取堆栈中某个非栈顶元素值的指令，所以说还是汇编灵活啊，想怎么写就怎么写，啥都能实现。

最后就是这个原函数的调用过程了，因为是动态拼接的函数，所以想到的就是用Marshal.GetDelegateForFunctionPointer转成委托来执行，后来发现不对，因为我虽然拼接的是汇编，而这个汇编是C#方法jit后的汇编，这个并不是C方法编译后的汇编，通过把非托管指针转换为委托的方式运行函数是会添加很多不需要的操作的，例如托管类型与非托管类型的转换，但我拼接出的函数是不需要这些过程的，这个怎么办，看来只能用调用C#普通函数的方式调用，这个怎么实现呢，其实很好办，只需写一个空壳函数，然后修改这个函数的方法表中的原生指令指针即可，具体方法如下：

*((ulong*)((uint*)method.MethodHandle.Value.ToPointer() + 2)) = (ulong)ptr;

method是空壳函数的MethodInfo，ptr是动态拼接的原函数的地址

好，到了这里就基本完成核心功能了，最不好处理的就是这个原函数调用，我的完整的64位原函数指令拼接就实现了，代码很少，如下所示：

byte[] jmp_inst =

{

 0x50,            //push rax

 0x48,0xB8,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, //mov rax,target_addr

 0x50,            //push rax

 0x48,0x8B,0x44,0x24,0x08,       //mov rax,qword ptr ss:[rsp+8]

 0xC2,0x08,0x00          //ret 8

};

 

protected override void CreateOriginalMethod(MethodInfo method)

{

 uint oldProtect;

 var needSize = NativeAPI.SizeofMin5Byte(srcPtr);

 byte[] src_instr = new byte[needSize];

 for (int i = 0; i < needSize; i++)

 {

  src_instr[i] = srcPtr[i];

 }

 fixed (byte* p = &jmp_inst[3])

 {

  *((ulong*)p) = (ulong)(srcPtr + needSize);

 }

 var totalLength = src_instr.Length + jmp_inst.Length;

 IntPtr ptr = Marshal.AllocHGlobal(totalLength);

 Marshal.Copy(src_instr, 0, ptr, src_instr.Length);

 Marshal.Copy(jmp_inst, 0, ptr + src_instr.Length, jmp_inst.Length);

 NativeAPI.VirtualProtect(ptr, (uint)totalLength, Protection.PAGE_EXECUTE_READWRITE, out oldProtect);

 RuntimeHelpers.PrepareMethod(method.MethodHandle);

 *((ulong*)((uint*)method.MethodHandle.Value.ToPointer() + 2)) = (ulong)ptr;

}

3.类库开发所用到的语言

之前我说，我的这个库是完全用C#实现的，但其中的确用到了一个C写的反汇编库，于是我用C#把那个库重写了一遍，说来也简单，C的代码粘过来，C#启用unsafe代码，改了10分钟就好了，真心是非常方便，毕竟C#是支持指针和结构体的，而且基础类型非常丰富，这里得给C#点个赞！

4.具体使用

使用非常简单，首先新建控制台程序并添加一个类，继承接口IMethodMonitor，Get是你自己的函数，Ori是原函数会在运行时动态生成，在Get中你可以干你想干的任何事情

public class CustomMonitor : IMethodMonitor //自定义一个类并继承IMethodMonitor接口

{

 [Monitor("TargetNamespace", "TargetClass")] //你要hook的目标方法的名称空间，类名

 public string Get() //方法签名要与目标方法一致

 {

  return "B" + Ori();

 }

 

 [MethodImpl(MethodImplOptions.NoInlining)]

 [Original] //原函数标记

 public string Ori() //方法签名要与目标方法一致

 {

  return null; //这里写什么无所谓，能编译过即可

 }

}

然后定义目标函数，例如

public string Get()

 {

 return "A";

 }

最后调用Monitor.Install()安装监视器,例如：

Console.WrtieLine(Get());

Monitor.Install()

Console.WrtieLine(Get());

你会发现第一次调用Get输出的值是"A",第二次是"BA"

当然这个库只是hook，但hook一般都需要dll注入来配合，因为hook自身进程没什么意义，hook别人的进程才有意义，我之后会发布一个用于.net程序远程注入的类库，注入的是.net的dll哦，不是C++的

好了，讲了这么多，其实这个库代码量并不大，但主要是自己研究的一个成果，很多东西都是自己琢磨出来的，所以觉得这个过程很有意思，也希望高手能指出改进方案，毕竟感觉目前这种方法虽然实现了功能，但是并不是很好，总觉得以hook .net虚拟机的方式来实现会更简单一些，或者网络上已经有了现成的解决方案我没有找到，总之，抛砖引玉，希望大家能共同探讨

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

# hook  # 实现  # C#实现Hook  # iOS开发中实现hook消息机制的方法探究  # CI框架中通过hook的方式实现简单的权限控制  # C++实现修改函数代码HOOK的封装方法  # Python利用pyHook实现监听用户鼠标与键盘事件  # Inline Hook(ring3)的简单C++实现方法  # C++实现inline hook的原理及应用实例  # 基于C#实现的HOOK键盘钩子实例代码  # python中使用pyhook实现键盘监控的例子  # python使用pyhook监控键盘并实现切换歌曲的功能  # 的是  # 求出  # 跳转  # 自己的  # 是一个  # 来实现  # 很好  # 不需要  # 类库  # 又不  # 所示  # 的人  # 共同探讨  # 都是  # 实现了  # 我是  # 就会  # 是个  # 好了  # 都不 

相关文章： 定制建站流程步骤详解：一站式方案设计与开发指南  大连网站制作公司哪家好一点,大连买房网站哪个好？  上海网站制作网页,上海本地的生活网站有哪些？最好包括生活的各个方面的？  建站之星如何助力企业快速打造五合一网站？  小型网站建站如何选择虚拟主机？  网站制作公司,橙子建站是合法的吗？  盘锦网站制作公司,盘锦大洼有多少5G网站？  如何彻底删除建站之星生成的Banner？  如何用低价快速搭建高质量网站？  如何通过服务器快速搭建网站？完整步骤解析  如何通过VPS建站无需域名直接访问？  免费公司网站制作软件,如何申请免费主页空间做自己的网站？  广东企业建站网站优化与SEO营销核心策略指南  山东云建站价格为何差异显著？  建站之星收费标准详解：套餐费用及年费价格表一览  香港服务器部署网站为何提示未备案？  厦门模型网站设计制作公司,厦门航空飞机模型掉色怎么办？  建站之星安装提示数据库无法连接如何解决？  大型企业网站制作流程,做网站需要注册公司吗？  建站OpenVZ教程与优化策略：配置指南与性能提升  Dapper的Execute方法的返回值是什么意思 Dapper Execute返回值详解  如何高效配置香港服务器实现快速建站？  北京制作网站的公司排名,北京三快科技有限公司是做什么？北京三快科技？  建站主机是否属于云主机类型？  如何在IIS管理器中快速创建并配置网站？  如何续费美橙建站之星域名及服务？  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  网站制作的软件有哪些,制作微信公众号除了秀米还有哪些比较好用的平台？  h5在线制作网站电脑版下载,h5网页制作软件？  已有域名建站全流程解析：网站搭建步骤与建站工具选择  建站之星上传入口如何快速找到？  如何在Golang中引入测试模块_Golang测试包导入与使用实践  建站主机SSH密钥生成步骤及常见问题解答？  免费制作海报的网站,哪位做平面的朋友告诉我用什么软件做海报比较好?ps还是cd还是ai这几个软件我都会些我是做网页的？  如何通过二级域名建站提升品牌影响力？  宝塔建站后网页无法访问如何解决？  c# Task.Yield 的作用是什么 它和Task.Delay(1)有区别吗  青岛网站设计制作公司,查询青岛招聘信息的网站有哪些？  如何在宝塔面板创建新站点？  如何快速生成专业多端适配建站电话？  免费视频制作网站,更新又快又好的免费电影网站？  如何解决VPS建站LNMP环境配置常见问题？  电影网站制作价格表,那些提供免费电影的网站，他们是怎么盈利的？  做企业网站制作流程,企业网站制作基本流程有哪些？  平台云上自主建站：模板化设计与智能工具打造高效网站  如何通过免费商城建站系统源码自定义网站主题与功能？  深圳网站制作费用多少钱,读秀，深圳文献港这样的网站很多只提供网上试读，但有些人只要提供试读的文章就能全篇下载，这个是怎么弄的？  学校免费自助建站系统：智能生成+拖拽设计+多端适配    建站之星代理平台如何选择最佳方案？