MinHook 如何对.NET底层的 Win32函数 进行拦截（上）

一：背景

1. 讲故事

在前面的系列中，我们聊过.NET外挂 harmony，他可以对.NET SDK方法进行拦截，这在.NET高级调试领域中非常重要，但这里也有一些遗憾，就是不能对SDK领域之外的函数进行拦截，比如 Win32 函数。。。
这篇我们就来解决这个问题，对，它就是 MinHook，当然我也调查了easyhook和detours，前者年久失修，后者是商业库，加上我的要求相对简单，使用极简版的 minhook 就够了，而且该项目在github上也是非常活跃的：https://github.com/TsudaKageyu/minhook

• 开箱即用，下载 MinHook_134_bin.zip 即可。
  
• 多项目融合，下载 MinHook_134_lib.zip 即可。
  

二：MinHook 案例演示

1. 开箱即用方式

观察 MinHook.h 头文件，会发现很多的 C 导出函数，如下所示：

1. #ifdef __cplusplus
2. extern "C" {
3. #endif
5.     // Initialize the MinHook library. You must call this function EXACTLY ONCE
6.     // at the beginning of your program.
7.     MH_STATUS WINAPI MH_Initialize(VOID);
9.     // Uninitialize the MinHook library. You must call this function EXACTLY
10.     // ONCE at the end of your program.
11.     MH_STATUS WINAPI MH_Uninitialize(VOID);
12.    
13.     ...
14. }

复制代码

有了这些导出函数，就可以通过 C# 的 PInvoke 直接调用，这里就演示一个拦截 MessageBox 方法,完整代码如下：

1. using System;
2. using System.Diagnostics;
3. using System.Runtime.InteropServices;
5. namespace ConsoleApp2
6. {
7.     internal class Program
8.     {
9.         static void Main(string[] args)
10.         {
11.             // 安装钩子
12.             HookManager.InstallHook("user32.dll", "MessageBoxW",
13.                 (IntPtr hWnd, string text, string caption, uint type) =>
14.                 {
15.                     Console.WriteLine($"我已成功拦截到 MessageBox：内容 {text}, 标题: {caption}");
17.                     var original = Marshal.GetDelegateForFunctionPointer<HookManager.MessageBoxDelegate>(HookManager.OriginalFunction);
19.                     return original(hWnd, text, caption, type);
20.                 });
22.             // 测试 MessageBox 调用（钩子会捕获这个）
23.             MessageBox(IntPtr.Zero, "This is a test", "Test", 0);
25.             // 卸载钩子
26.             HookManager.UninstallHook();
28.             Console.ReadLine();
29.         }
31.         [DllImport("user32.dll", CharSet = CharSet.Unicode)]
32.         private static extern int MessageBox(IntPtr hWnd, string text, string caption, uint type);
33.     }
35.     public static class HookManager
36.     {
37.         // 定义 MessageBox 的委托
38.         [UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode)]
39.         public delegate int MessageBoxDelegate(IntPtr hWnd, string text, string caption, uint type);
41.         // 原始函数的指针
42.         public static IntPtr OriginalFunction = IntPtr.Zero;
44.         // 当前钩子的目标函数地址
45.         private static IntPtr _targetFunction = IntPtr.Zero;
47.         public static void InstallHook(string moduleName, string functionName, MessageBoxDelegate detourFunc)
48.         {
49.             // 1. 初始化 MinHook
50.             var status = MinHook.MH_Initialize();
51.             if (status != MinHook.MH_STATUS.MH_OK)
52.             {
53.                 Console.WriteLine($"MH_Initialize failed: {status}");
54.                 return;
55.             }
57.             // 2. 获取目标函数的地址
58.             _targetFunction = MinHook.GetProcAddress(MinHook.GetModuleHandle(moduleName), functionName);
59.             if (_targetFunction == IntPtr.Zero)
60.             {
61.                 Console.WriteLine($"Failed to get {functionName} address");
62.                 return;
63.             }
65.             // 3. 创建钩子
66.             var detourPtr = Marshal.GetFunctionPointerForDelegate(detourFunc);
67.             status = MinHook.MH_CreateHook(_targetFunction, detourPtr, out OriginalFunction);
69.             if (status != MinHook.MH_STATUS.MH_OK)
70.             {
71.                 Console.WriteLine($"MH_CreateHook failed: {status}");
72.                 return;
73.             }
75.             // 4. 启用钩子
76.             status = MinHook.MH_EnableHook(_targetFunction);
77.             if (status != MinHook.MH_STATUS.MH_OK)
78.             {
79.                 Console.WriteLine($"MH_EnableHook failed: {status}");
80.                 return;
81.             }
83.             Console.WriteLine($"{functionName} hook installed successfully");
84.         }
86.         public static void UninstallHook()
87.         {
88.             if (_targetFunction == IntPtr.Zero)
89.             {
90.                 Console.WriteLine("No active hook to uninstall");
91.                 return;
92.             }
94.             // 1. 禁用钩子
95.             var status = MinHook.MH_DisableHook(_targetFunction);
96.             if (status != MinHook.MH_STATUS.MH_OK)
97.             {
98.                 Console.WriteLine($"MH_DisableHook failed: {status}");
99.             }
101.             // 2. 移除钩子
102.             status = MinHook.MH_RemoveHook(_targetFunction);
103.             if (status != MinHook.MH_STATUS.MH_OK)
104.             {
105.                 Console.WriteLine($"MH_RemoveHook failed: {status}");
106.             }
108.             // 3. 卸载 MinHook
109.             status = MinHook.MH_Uninitialize();
110.             if (status != MinHook.MH_STATUS.MH_OK)
111.             {
112.                 Console.WriteLine($"MH_Uninitialize failed: {status}");
113.             }
115.             _targetFunction = IntPtr.Zero;
116.             OriginalFunction = IntPtr.Zero;
118.             Console.WriteLine("Hook uninstalled successfully");
119.         }
120.     }
122.     public class MinHook
123.     {
124.         // MH_STATUS 枚举
125.         public enum MH_STATUS
126.         {
127.             MH_UNKNOWN = -1,
128.             MH_OK = 0,
129.             MH_ERROR_ALREADY_INITIALIZED,
130.             MH_ERROR_NOT_INITIALIZED,
131.             MH_ERROR_ALREADY_CREATED,
132.             MH_ERROR_NOT_CREATED,
133.             MH_ERROR_ENABLED,
134.             MH_ERROR_DISABLED,
135.             MH_ERROR_NOT_EXECUTABLE,
136.             MH_ERROR_UNSUPPORTED_FUNCTION,
137.             MH_ERROR_MEMORY_ALLOC,
138.             MH_ERROR_MEMORY_PROTECT,
139.             MH_ERROR_MODULE_NOT_FOUND,
140.             MH_ERROR_FUNCTION_NOT_FOUND
141.         }
143.         public IntPtr MH_ALL_HOOKS = IntPtr.Zero;
145.         // 导入 MinHook 函数
146.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]
147.         public static extern MH_STATUS MH_Initialize();
149.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]
150.         public static extern MH_STATUS MH_Uninitialize();
152.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]
153.         public static extern MH_STATUS MH_CreateHook(IntPtr pTarget, IntPtr pDetour, out IntPtr ppOriginal);
155.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl, CharSet = CharSet.Unicode)]
156.         public static extern MH_STATUS MH_CreateHookApi(string pszModule, string pszProcName, IntPtr pDetour, out IntPtr ppOriginal);
158.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]
159.         public static extern MH_STATUS MH_RemoveHook(IntPtr pTarget);
161.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]
162.         public static extern MH_STATUS MH_EnableHook(IntPtr pTarget);
164.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]
165.         public static extern MH_STATUS MH_DisableHook(IntPtr pTarget);
167.         [DllImport("MinHook.x86.dll", CallingConvention = CallingConvention.Cdecl)]
168.         public static extern IntPtr MH_StatusToString(MH_STATUS status);
171.         [DllImport("kernel32.dll", CharSet = CharSet.Unicode, SetLastError = true)]
172.         public static extern IntPtr GetModuleHandle(string lpModuleName);
174.         [DllImport("kernel32.dll", CharSet = CharSet.Ansi, SetLastError = true)]
175.         public static extern IntPtr GetProcAddress(IntPtr hModule, string lpProcName);
176.     }
177. }

复制代码

由于这个 C# 程序是 32bit 的，所以将 MinHook.x86.dll 拷贝到C#程序的当前目录。

最后将程序运行起来，该有的都出现了。

个人实践下来，我发现有两个小问题：

• 当你用 vs 单步调试的时候，走到 MH_CreateHook 方法时会抛 Fatal error. Internal CLR error. (0x80131506)  CLR 内部错误，看起来VS调试器做了一些手脚，截图如下：
  

• 当你想在 InstallHook 中的 detourFunc 函数下断点，也不会被命中，截图如下：
  

总的来说对VS调试有一点影响，但也不太大，还是可以接受的，毕竟用 C# 来调用轻车熟路，如果你熟悉 windbg 的话，用它是一点问题都没有。。。
2. 深度融合方式

用 C# 的 Pinvoke 调用 MinHook，总感觉少了那个味，如果用原汁原味的 C 调用 MinHook 那就相当完美了，在解决一些比较复杂注入非常有必要。
这里我采用 libMinHook.x86.lib 以静态链接的方式将当前的 ConsoleApplication2 和 MinHook 合二为一，截图如下：

接下来做三点配置：

• 右键属性 配置下 头文件 和 dll库 搜索路径，截图如下：
  

• 右键属性 配置下 依赖文件名，截图如下：
  

最后就是完整的 C 代码。

1. #include <windows.h>
2. #include <stdio.h>
3. #include <fcntl.h>
4. #include <io.h>
5. #include <MinHook.h>
7. typedef int (WINAPI* Real_MessageBoxW)(
8.         HWND hWnd,
9.         LPCWSTR lpText,
10.         LPCWSTR lpCaption,
11.         UINT uType
12.         );
14. Real_MessageBoxW fpMessageBoxW = NULL;
16. int WINAPI Hook_MessageBoxW(
17.         HWND hWnd,
18.         LPCWSTR lpText,
19.         LPCWSTR lpCaption,
20.         UINT uType)
21. {
22.         _setmode(_fileno(stdout), _O_U16TEXT);
24.         wprintf(L"拦截 MessageBoxW:\n");
25.         wprintf(L"  文本: %s\n", lpText);  // 移除 &，直接使用 lpText
26.         wprintf(L"  标题: %s\n", lpCaption);  // 移除 &，直接使用 lpCaption
28.         return fpMessageBoxW(
29.                 hWnd,
30.                 lpText,
31.                 lpCaption,
32.                 uType);
33. }
35. extern "C" __declspec(dllexport) void InstallHook()
36. {
37.         HMODULE hModule = GetModuleHandleW(L"user32.dll");
38.         Real_MessageBoxW pOrigMessageBoxW = (Real_MessageBoxW)GetProcAddress(hModule, "MessageBoxW");
40.         if (pOrigMessageBoxW == NULL) {
41.                 printf("无法获取 MessageBoxW 地址\n");
42.                 return;
43.         }
45.         if (MH_Initialize() != MH_OK) {
46.                 printf("MinHook 初始化失败\n");
47.                 return;
48.         }
50.         if (MH_CreateHook(pOrigMessageBoxW, &Hook_MessageBoxW, (void**)&fpMessageBoxW) != MH_OK) {
51.                 printf("创建 Hook 失败\n");
52.                 return;
53.         }
55.         if (MH_EnableHook(pOrigMessageBoxW) != MH_OK) {
56.                 printf("启用 Hook 失败\n");
57.                 return;
58.         }
60.         printf("MessageBoxW Hook 安装成功\n");
61. }
63. extern "C" __declspec(dllexport) void UninstallHook()
64. {
65.         MH_DisableHook(MH_ALL_HOOKS);
66.         MH_Uninitialize();
67. }

复制代码

这是只对外公开了 InstallHook 和 UninstallHook 装卸载方法，最后就是高层的 C# 代码。

1. using System;
2. using System.Runtime.InteropServices;
4. namespace ConsoleApp1
5. {
6.     internal class Program
7.     {
8.         static void Main(string[] args)
9.         {
10.             Console.WriteLine("正在安装 MessageBox 钩子...");
11.             InstallHook();
13.             Console.WriteLine("将弹出测试消息框，观察输出...");
15.             // 弹出测试消息框（会被钩子拦截）
16.             MessageBoxW(IntPtr.Zero, "这是测试内容", "测试标题", 0);
18.             Console.WriteLine("按任意键退出并卸载钩子...");
19.             Console.ReadKey();
21.             UninstallHook();
22.             Console.WriteLine("钩子已卸载");
23.         }
25.         // 导入 user32.dll 的 MessageBoxW
26.         [DllImport("user32.dll", CharSet = CharSet.Unicode, CallingConvention = CallingConvention.Winapi)]
27.         public static extern int MessageBoxW(
28.             IntPtr hWnd,
29.             string lpText,
30.             string lpCaption,
31.             uint uType);
33.         // 导入DLL中的函数
34.         [DllImport("ConsoleApplication2.dll", CallingConvention = CallingConvention.Cdecl)]
35.         public static extern void InstallHook();
37.         [DllImport("ConsoleApplication2.dll", CallingConvention = CallingConvention.Cdecl)]
38.         public static extern void UninstallHook();
39.     }
40. }

复制代码

在运行之前将 ConsoleApplication2 拷贝到 C# 程序的当前目录，直接运行 C# 项目即可。

三：总结

开箱和融合两种方式都有自己的用途，下一篇我们上一个很真实的场景，让大家体会下 win32 的注入对高级调试领域 的强大功效。

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！