C++ 检测函数是否被 Hook (32 位机器)

Question

当人们 Hook 一个函数时，他们通常会用分支指令修改他们想要 Hook 的函数的前几条指令到他们想做一些事情的地方，然后分支回到原来的函数并恢复它，问题在于从字面上看，没有什么是安全的。您试图隐藏的任何值都可以很容易地找到(这些值可以通过许多其他方式找到，而不仅仅是函数 Hook ，但这就是我在这个问题中关注的全部内容)

假设您在 C++ 应用程序中实现了像 MD5 这样的哈希算法(我没有，这只是问题的一个示例)，只是为了这个示例假设您有一个 MD5 函数像这样

void GENERATEMD5(const char *plain, char *out);

你会这样调用它

char hashResult[33] = { 0 };//32 + 1 because of null terminator
GENERATEMD5(passwordInputBuffer, hashResult);
memset(passwordInputBuffer, 0, 32);//set password buf back to null

任何人都可以轻松地 Hook 此 GERERATEMD5() 函数，并在传递给该函数时简单地打印出参数。示例

void md5FuncHook(const char *plain, char *out)
{
    md5Hook(plain, out);

    console::print("Plain: %s - Hash: %s", plain, out);
}

我在考虑这个问题，但我只能想出一种方法来检测一个函数是否被 Hook (假设他们通过修改函数的前几条指令来 Hook 该函数)。那将是检查函数的前几个字节，然后确认它们是它们应该是的。例如，如果我们知道函数 GERERATEMD5() 的前几个字节是

int GERERATEMD5_Function_bytes_0 = 0x12341234;//just random bytes for the example
int GERERATEMD5_Function_bytes_1 = 0x12341234;//just random bytes for the example
int GERERATEMD5_Function_bytes_2 = 0x12341234;//just random bytes for the example
int GERERATEMD5_Function_bytes_3 = 0x12341234;//just random bytes for the example

然后我们可以做这样的事情

void checkIfGENERATEMD5HasBeenHooked()
{
    int GERERATEMD5_Function_bytes_0 = 0x12341234;//just random bytes for the example
    int GERERATEMD5_Function_bytes_1 = 0x12341234;//just random bytes for the example
    int GERERATEMD5_Function_bytes_2 = 0x12341234;//just random bytes for the example
    int GERERATEMD5_Function_bytes_3 = 0x12341234;//just random bytes for the example

    int readGENERATEMD5FunctionBytes0, readGENERATEMD5FunctionBytes1, readGENERATEMD5FunctionBytes2, readGENERATEMD5FunctionBytes3;
    memcpy(&readGENERATEMD5FunctionBytes0, (char *)(&GENERATEMD5 + 0x00), 0x04);
    memcpy(&readGENERATEMD5FunctionBytes1, (char *)(&GENERATEMD5 + 0x04), 0x04);
    memcpy(&readGENERATEMD5FunctionBytes2, (char *)(&GENERATEMD5 + 0x08), 0x04);
    memcpy(&readGENERATEMD5FunctionBytes3, (char *)(&GENERATEMD5 + 0x0C), 0x04);

    if(GERERATEMD5_Function_bytes_0 == readGENERATEMD5FunctionBytes0 && GENERATEMD5_Function_bytes_1 == readGENERATEMD5FunctionBytes1 && GENERATEMD5_Function_bytes_2 == readGENERATEMD5FunctionBytes2 && GENERATEMD5_Function_bytes_3 == readGENERATEMD5FunctionBytes3)
    {
        //our GENERATEMD5() function is clean
    }
    else
    {
        //hook detected or some other form of function modification detected
    }
}

但是我尝试过的所有方法似乎都行不通。我假设的问题来自于我读取函数本身字节的位置，例如对 memcpy 的调用实际上并未读取位于 &GENERATEMD5 + OFFSET 的字节。我只是做错了什么吗？还是有更好/不同的方式来做我想完成的事情？ (顺便说一句，是的，我知道攻击者在 Hook 您的函数时可能会使用许多其他 Hook 方法，除了我上面描述的方法之外，还有许多其他方法可以从您的可执行文件中获取您的敏感信息，但这个问题有与这些无关，所以请只关注问题，而不是仅仅说“这样做毫无意义”或“有简单的方法可以绕过它”等...)

Answer 1

我已经做到了。问题是加载程序会在重定位期间修改代码，因此您不能依赖操作数字段每次都是相同的值。在我的例子中，我使用了反汇编库并仅对操作码字节进行了哈希处理。我使用 BASTARD 在运行时进行反汇编，但该项目早就死了。我认为现在有更好的选择。

原则上，您可能会以不会发生重定位修正的方式编写目标函数，但这会带来更多的麻烦，而不是值得的。