コグノスケ

Win32 APIのフック

研究室の方々が WindowsってAPIのレイヤでフックできないの？って話をしていたのでちょっと考えてみました。DLLの呼び出しをフックする手法は以下のような手法が考えられますが、どれも一長一短です。

フックDLL

概要：フックしたいDLLと同じexportsを持つ偽物DLLを作成して、操作対象プロセスに優先的にロードさせる（カレントディレクトリに配置など）。
長所：比較的簡単に実現できる。
短所：いちいちDLL作るのめんどくさい。いくつかのDLLには効かない。

デバッグ関数

概要：OSのデバッグ機能を用いて、フックしたいAPIの先頭アドレスでデバッグブレークする。
長所：簡単かな？作ったこと無いので良くわからんです。
短所：たぶん遅い。Windowsはデバッガのデタッチができないため、用が済んでもフックプロセスを消せない。これは致命的。

IATパッチ

概要：DLLの関数をcallするときに用いるアドレステーブル(IAT: import address table)を書き換えて、フック処理を呼ばせる。
長所：IATさえ使っていればどんなDLLの関数でもフックできる。
短所：IATの書き換えが大変。スタティックリンクされるとフックできない。

コードインジェクション

概要：DLLの関数の先頭を書き換えフック関数へジャンプさせる命令を入れる。
長所：DLLだけに限らず、どの関数でもフックできる。
短所：関数の先頭アドレスが分かっていないとフックできない（DLLの関数ならたぶん大丈夫）。LoadLibraryとGetProcAddressで動的ロードされたり、スタティックリンクされるとフックできない。

名前は勝手に付けました。下に行くほど実装が面倒くさそう、と勝手に思っています。正式名称（orもっと格好いい名前）や、他の方法をご存じの方は、ご教授いただけると幸いです。

IATパッチングによるDLL呼び出しのフック

以前、フックDLLでwinsockかなんかをフックしたことがあるので、今回はIATを外から無理矢理ぶっ潰してフックを実現してみました。

試しにWindows MessengerのSHELL32.dll!Shell_NotifyIconに割り込んで、ダイアログを表示させてみました（下図）。

Shell_NotifyIconをフック

ちなみにshell32.dllであればフックDLLの方が遙かに楽だと思います。kernel32.dll!CloseHandleなんかもフックしてみたのですが、見た目に呼んでるんだか呼んでないんだかわからんのよね。

課題

ロードされたモジュールは各自のIATを持っています。そのためIATパッチを行う場合は、全てのIATのエントリを虱潰しに見なければなりません。

あるプログラムhoge.exeがkernel32.dllとuser32.dllをロードしていたとしたら、IATは少なくともhogeとkernel32とuser32の3つ分存在するはずです。

その状態でuser32.dll!MessageBoxWをフックしたいと思ったら、全てのIATのエントリからMessageBoxWに関わるエントリを探して書き換えなければ、打ち漏らしが発生してしまいます。IATパッチにおいて、フックをかける処理はかなりヘビーなものになるでしょう。

またDLLはいつロード/アンロードされるかわからないので、フックの設定や解除を徹底しようと思うとかなり難しいです。そのため厳密にフックする必要がある、セキュリティシステムなどには向かない手法です。

あとは…フックを通知する方法も考えないと行けませんね。これはそのうちなんとかなるんじゃないかと思っております。