hook怎么写( 二 ) _hook

2. netfilter框架中的hook函数怎么写通俗的说，netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理（如包过滤，NAT等，甚至可以是用户自定义的功能）。
netfilter[1]
IP层的五个HOOK点的位置如下图所示
[1]:NF_IP_PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验
和等检测），目的地址转换在此点进行；
[2]:NF_IP_LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行；
[3]:NF_IP_FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行；
[4]:NF_IP_POST_ROUTING：所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行；
[5]:NF_IP_LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行。
在IP层代码中，有一些带有NF_HOOK宏的语句，如IP的转发函数中有：
如果在编译内核时没有配置netfilter时，就相当于调用最后一个参数，此例中即执行
ip_forward_finish函数；否则进入HOOK点，执行通过nf_register_hook（)登记的功能
（这句话表达的可能比较含糊，实际是进入nf_hook_slow（)函数，再由它执行登记的
函数）。
3. 什么是HOOK功能 HOOK API是一个永恒的话题，如果没有HOOK，许多技术将很难实现，也许根本不能实现。
这里所说的API，是广义上的API，它包括DOS下的中断，WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件，就是靠HOOK TextOut（)或ExtTextOut（)这两个函数实现的，在操作系统用这两个函数输出文本之前，就把相应的英文替换成中文而达到即时翻译；IFS和NDIS过滤也是如此，在读写磁盘和收发数据之前，系统会调用第三方提供的回调函数来判断操作是否可以放行，它与普通HOOK不同，它是操作系统允许的，由操作系统提供接口来安装回调函数。
甚至如果没有HOOK，就没有病毒，因为不管是DOS下的病毒或WINDOWS里的病毒，都是靠HOOK系统服务来实现自己的功能的：DOS下的病毒靠HOOK INT 21来感染文件（文件型病毒），靠HOOK INT 13来感染引导扇区（引导型病毒）；WINDOWS下的病毒靠HOOK系统API（包括RING0层的和RING3层的），或者安装IFS(CIH病毒所用的方法)来感染文件。因此可以说“没有HOOK，就没有今天多姿多彩的软件世界” 。
由于涉及到专利和知识产权，或者是商业机密，微软一直不提倡大家HOOK它的系统API，提供IFS和NDIS等其他过滤接口，也是为了适应杀毒软件和防火墙的需要才开放的。所以在大多数时候，HOOK API要靠自己的力量来完成。
【hook怎么写】 HOOK API有一个原则，这个原则就是：被HOOK的API的原有功能不能受到任何影响。就象医生救人，如果把病人身体里的病毒杀死了，病人也死了，那么这个“救人”就没有任何意义了。
如果你HOOK API之后，你的目的达到了，但API的原有功能失效了，这样不是HOOK，而是REPLACE，操作系统的正常功能就会受到影响，甚至会崩溃。HOOK API的技术，说起来也不复杂，就是改变程序流程的技术。
在CPU的指令里，有几条指令可以改变程序的流程：JMP,CALL,INT,RET,RETF,IRET等指令。理论上只要改变API入口和出口的任何机器码，都可以HOOK，但是实际实现起来要复杂很多，因为要处理好以下问题： 1,CPU指令长度问题，在32位系统里，一条JMP/CALL指令的长度是5个字节，因此你只有替换API里超过5个字节长度的机器码（或者替换几条指令长度加起来是5字节的指令），否则会影响被更改的小于5个字节的机器码后面的数条指令，甚至程序流程会被打乱，产生不可预料的后果； 2，参数问题，为了访问原API的参数，你要通过EBP或ESP来引用参数，因此你要非常清楚你的HOOK代码里此时的EBP/ESP的值是多少； 3，时机的问题，有些HOOK必须在API的开头，有些必须在API的尾部，比如HOOK CreateFilaA（)，如果你在API尾部HOOK API，那么此时你就不能写文件，甚至不能访问文件；HOOK RECV（)，如果你在API头HOOK，此时还没有收到数据，你就去查看RECV（)的接收缓冲区，里面当然没有你想要的数据，必须等RECV（)正常执行后，在RECV（)的尾部HOOK，此时去查看RECV（)的缓冲区，里面才有想要的数据； 4，上下文的问题，有些HOOK代码不能执行某些操作，否则会破坏原API的上下文，原API就失效了； 5，同步问题，在HOOK代码里尽量不使用全局变量，而使用局部变量，这样也是模块化程序的需要； 6，最后要注意的是，被替换的CPU指令的原有功能一定要在HOOK代码的某个地方模拟实现。