所謂的應(yīng)用層鉤子（Application-level hooks）是一種編程技術(shù)，它允許應(yīng)用程序通過在特定事件發(fā)生時執(zhí)行特定代碼來自定義或擴展其行為。這些事件可以是用戶交互，系統(tǒng)事件，或者其他應(yīng)用程序內(nèi)部的事件。應(yīng)用層鉤子是在應(yīng)用程序中添加自定義代碼的一種靈活的方式。它們可以用于許多不同的用途，如安全審計、性能監(jiān)視、訪問控制和行為修改等。應(yīng)用層鉤子通常在應(yīng)用程序的運行時被調(diào)用，可以執(zhí)行一些預(yù)定義的操作或觸發(fā)一些自定義代碼。

通常情況下，第三方應(yīng)用在需要擴展一個程序功能是都會采用掛鉤子的方式實現(xiàn)，而由于內(nèi)存數(shù)據(jù)被修改后磁盤數(shù)據(jù)依然是原始數(shù)據(jù)，這就給掃描這些鉤子提供了便利，具體來說鉤子掃描的原理是通過讀取磁盤中的PE文件中的反匯編代碼，并與內(nèi)存中的代碼作比較，當兩者發(fā)生差異是則可以證明此處被掛了鉤子。

本節(jié)內(nèi)容中，筆者將通過一個案例并配合Capstone引擎來實現(xiàn)這個功能，之所以選用該引擎是因為該引擎支持Python包，可以非常容易的與LyScript插件互動，此外Capstone引擎在逆向工程、漏洞分析、惡意代碼分析等領(lǐng)域有廣泛的應(yīng)用，著名反匯編調(diào)試器IDA則是使用了該引擎工作的。

• Capstone引擎的主要特點包括：

• 支持多種指令集：支持x86、ARM、MIPS、PowerPC等多種指令集，且能夠在不同的平臺上運行。

• 輕量級高效：采用C語言編寫，代碼簡潔高效，反匯編速度快。

• 易于使用：提供了易于使用的API和文檔，支持Python、Ruby、Java等多種編程語言。

• 可定制性：提供了多種可配置選項，能夠滿足不同用戶的需求。

Capstone的安裝非常容易，只需要執(zhí)行pip install capstone即可完成，使用Capstone反匯編時讀者只需要傳入一個PE文件路徑，并通過md.disasm(HexCode, 0)即可實現(xiàn)反匯編任務(wù)；

代碼首先使用pefile庫讀取PE文件，獲取文件的ImageBase，以及名為".text"的節(jié)表的VirtualAddress、Misc_VirtualSize和PointerToRawData等信息。接下來，代碼計算了".text"節(jié)表的起始地址StartVA和結(jié)束地址StopVA，然后使用文件指針讀取文件中".text"節(jié)表的原始數(shù)據(jù)，并使用capstone庫進行反匯編。反匯編結(jié)果以字典形式存儲，包括反匯編地址和反匯編指令。最后，函數(shù)返回了包含所有反匯編指令的opcode_list列表。

from capstone import *import pefiledef Disassembly(FilePath): ? ?opcode_list = [] ? ?pe = pefile.PE(FilePath) ? ?ImageBase = pe.OPTIONAL_HEADER.ImageBase ? ?for item in pe.sections: ? ? ? ?if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text": ? ? ? ? ? ?# print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize)) ? ? ? ? ? ?VirtualAddress = item.VirtualAddress ? ? ? ? ? ?VirtualSize = item.Misc_VirtualSize ? ? ? ? ? ?ActualOffset = item.PointerToRawData ? ?StartVA = ImageBase + VirtualAddress ? ?StopVA = ImageBase + VirtualAddress + VirtualSize ? ?with open(FilePath,"rb") as fp: ? ? ? ?fp.seek(ActualOffset) ? ? ? ?HexCode = fp.read(VirtualSize) ? ?md = Cs(CS_ARCH_X86, CS_MODE_32) ? ?for item in md.disasm(HexCode, 0): ? ? ? ?addr = hex(int(StartVA) + item.address) ? ? ? ?dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str} ? ? ? ?print("[+] 反匯編地址: {} 參數(shù): {}".format(addr,dic)) ? ? ? ?opcode_list.append(dic) ? ?return opcode_listif __name__ == "__main__": ? ?Disassembly("d://lyshark.exe")

當讀者運行上方代碼片段時，則可輸出lyshark.exe程序內(nèi)text節(jié)所有反匯編代碼片段，輸出效果如下圖所示；

接著我們需要讀入內(nèi)存中的PE文件機器碼并通過Capstone引擎反匯編為匯編指令集，如下get_memory_disassembly函數(shù)則是實現(xiàn)內(nèi)存反匯編的具體實現(xiàn)細節(jié)。

此案例中通過read_memory_byte讀入內(nèi)存完整數(shù)據(jù)，并使用md.disasm依次反匯編，并最終將結(jié)果存儲到dasm_memory_dict字典中保存。

import binascii,os,sysimport pefilefrom capstone import *from LyScript32 import MyDebug# 得到內(nèi)存反匯編代碼def get_memory_disassembly(address,offset,len): ? ?# 反匯編列表 ? ?dasm_memory_dict = [] ? ?# 內(nèi)存列表 ? ?ref_memory_list = bytearray() ? ?# 讀取數(shù)據(jù) ? ?for index in range(offset,len): ? ? ? ?char = dbg.read_memory_byte(address + index) ? ? ? ?ref_memory_list.append(char) ? ?# 執(zhí)行反匯編 ? ?md = Cs(CS_ARCH_X86,CS_MODE_32) ? ?for item in md.disasm(ref_memory_list,0x1): ? ? ? ?addr = int(pe_base) + item.address ? ? ? ?dasm_memory_dict.append({"address": str(addr), "opcode": item.mnemonic + " " + item.op_str}) ? ?return dasm_memory_dictif __name__ == "__main__": ? ?dbg = MyDebug() ? ?dbg.connect() ? ?pe_base = dbg.get_local_base() ? ?pe_size = dbg.get_local_size() ? ?print("模塊基地址: {}".format(hex(pe_base))) ? ?print("模塊大小: {}".format(hex(pe_size))) ? ?# 得到內(nèi)存反匯編代碼 ? ?dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size) ? ?print(dasm_memory_list) ? ?dbg.close()

執(zhí)行如上所示代碼，則可輸出當前程序內(nèi)存中的反匯編指令集，并以字典的方式輸出，效果圖如下所示；

這兩項功能實現(xiàn)之后，那么實現(xiàn)內(nèi)存與磁盤之間的比對工作將變得很容易實現(xiàn)，如下代碼中首先通過get_memory_disassembly獲取到內(nèi)存反匯編指令，然后通過get_file_disassembly獲取磁盤反匯編指令，并將兩者dasm_memory_list[index] != dasm_file_list[index]最比較，以此來判斷特定內(nèi)存是否被掛鉤；

import binascii,os,sysimport pefilefrom capstone import *from LyScript32 import MyDebug# 得到內(nèi)存反匯編代碼def get_memory_disassembly(address,offset,len): ? ?# 反匯編列表 ? ?dasm_memory_dict = [] ? ?# 內(nèi)存列表 ? ?ref_memory_list = bytearray() ? ?# 讀取數(shù)據(jù) ? ?for index in range(offset,len): ? ? ? ?char = dbg.read_memory_byte(address + index) ? ? ? ?ref_memory_list.append(char) ? ?# 執(zhí)行反匯編 ? ?md = Cs(CS_ARCH_X86,CS_MODE_32) ? ?for item in md.disasm(ref_memory_list,0x1): ? ? ? ?addr = int(pe_base) + item.address ? ? ? ?dic = {"address": str(addr), "opcode": item.mnemonic + " " + item.op_str} ? ? ? ?dasm_memory_dict.append(dic) ? ?return dasm_memory_dict# 反匯編文件中的機器碼def get_file_disassembly(path): ? ?opcode_list = [] ? ?pe = pefile.PE(path) ? ?ImageBase = pe.OPTIONAL_HEADER.ImageBase ? ?for item in pe.sections: ? ? ? ?if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text": ? ? ? ? ? ?# print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize)) ? ? ? ? ? ?VirtualAddress = item.VirtualAddress ? ? ? ? ? ?VirtualSize = item.Misc_VirtualSize ? ? ? ? ? ?ActualOffset = item.PointerToRawData ? ?StartVA = ImageBase + VirtualAddress ? ?StopVA = ImageBase + VirtualAddress + VirtualSize ? ?with open(path,"rb") as fp: ? ? ? ?fp.seek(ActualOffset) ? ? ? ?HexCode = fp.read(VirtualSize) ? ?md = Cs(CS_ARCH_X86, CS_MODE_32) ? ?for item in md.disasm(HexCode, 0): ? ? ? ?addr = hex(int(StartVA) + item.address) ? ? ? ?dic = {"address": str(addr) , "opcode": item.mnemonic + " " + item.op_str} ? ? ? ?# print("{}".format(dic)) ? ? ? ?opcode_list.append(dic) ? ?return opcode_listif __name__ == "__main__": ? ?dbg = MyDebug() ? ?dbg.connect() ? ?pe_base = dbg.get_local_base() ? ?pe_size = dbg.get_local_size() ? ?print("模塊基地址: {}".format(hex(pe_base))) ? ?print("模塊大小: {}".format(hex(pe_size))) ? ?# 得到內(nèi)存反匯編代碼 ? ?dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size) ? ?dasm_file_list = get_file_disassembly("d://lyshark.exe") ? ?# 循環(huán)對比內(nèi)存與文件中的機器碼 ? ?for index in range(0,len(dasm_file_list)): ? ? ? ?if dasm_memory_list[index] != dasm_file_list[index]: ? ? ? ? ? ?print("地址: {:8} --> 內(nèi)存反匯編: {:32} --> 磁盤反匯編: {:32}". ? ? ? ? ? ? ? ? ?format(dasm_memory_list[index].get("address"),dasm_memory_list[index].get("opcode"),dasm_file_list[index].get("opcode"))) ? ?dbg.close()

運行上方代碼片段，耐性等待一段時間，則可輸出內(nèi)存與磁盤反匯編指令集列表，輸出效果圖如下所示；