【DLL劫持】用NASM汇编语言实现32位dsound.dll的劫持

0xAA55

原理很简单。弄一个导出表和原dsound.dll一致的自定义DLL，里面的函数就都可以劫持了。
dsound.dll是使用DirectSound必不可少的DLL，通过使用它，游戏可以播放各种各样的音效。就比如《光环2》这个游戏，它就是使用DirectSound进行声音的播放的。
我觉得《光环2》的精英战士长得比较萌，而且声音也铿锵有力（虽然四个下颌让它们吐字不清）。通过劫持dsound.dll可以实现游戏音效的截取。
当然不能急，要一步一步来。写的函数名字和调用约定以及参数个数必须和原DLL完全一致，才能保证完全加载。
我这里给的源代码是自己写了个dsound.dll，然后它引用了原始的dsound.dll。做法就是用LoadLibrary加载原始DLL，调用原始的函数，然后对其进行处理。
先看ds.def

1. LIBRARY
   
2.     EXPORTS
   
3. DirectSoundCreate               @1
   
4. DirectSoundEnumerateA           @2
   
5. DirectSoundEnumerateW           @3
   
6. DllCanUnloadNow                 @4
   
7. DllGetClassObject               @5
   
8. DirectSoundCaptureCreate        @6
   
9. DirectSoundCaptureEnumerateA    @7
   
10. DirectSoundCaptureEnumerateW    @8
    
11. GetDeviceID                     @9
    
12. DirectSoundFullDuplexCreate     @10
    
13. DirectSoundCreate8              @11
    
14. DirectSoundCaptureCreate8       @12

复制代码

你会发现它和原始的dsound.dll一致。然后就是源码部分。因为是汇编写的所以代码略丑。

1. ;DllMain用到的常数
   
2. %define DLL_PROCESS_ATTACH 1
   
3. %define DLL_THREAD_ATTACH  2
   
4. %define DLL_THREAD_DETACH  3
   
5. %define DLL_PROCESS_DETACH 0
   
6. 
   
7. ;要用到的函数
   
8. extern __imp__Beep@8
   
9. extern __imp__LoadLibraryA@4
   
10. extern __imp__GetProcAddress@8
    
11. extern __imp__FreeLibrary@4
    
12. 
    
13. ;导出的函数
    
14. global _DllMain@12
    
15. global _DirectSoundCreate@12
    
16. global _DirectSoundEnumerateA@8
    
17. global _DirectSoundEnumerateW@8
    
18. global _DllCanUnloadNow@0
    
19. global _DllGetClassObject@12
    
20. global _DirectSoundCaptureCreate@12
    
21. global _DirectSoundCaptureEnumerateA@8
    
22. global _DirectSoundCaptureEnumerateW@8
    
23. global _GetDeviceID@8
    
24. global _DirectSoundFullDuplexCreate@40
    
25. global _DirectSoundCreate8@12
    
26. global _DirectSoundCaptureCreate8@12
    
27. 
    
28. ;代码段
    
29. segment .text
    
30. ;==============================================================================
    
31. ;加载原始DLL的宏
    
32. ;------------------------------------------------------------------------------
    
33. %macro LoadOrg 0
    
34. push OrgDllName;DLL路径字符串
    
35. call [__imp__LoadLibraryA@4]
    
36. mov [OrgDllHMod],eax;存储返回值
    
37. %endmacro
    
38. 
    
39. ;==============================================================================
    
40. ;调用原始函数的宏，参数是GetProcAddress的函数名那个参数。
    
41. ;------------------------------------------------------------------------------
    
42. %macro CallOrg 1
    
43. push %1;函数名
    
44. push dword[OrgDllHMod];DLL句柄
    
45. call [__imp__GetProcAddress@8];取得函数地址
    
46. call eax;调用函数
    
47. %endmacro
    
48. 
    
49. ;==============================================================================
    
50. ;卸载原始DLL的宏
    
51. ;------------------------------------------------------------------------------
    
52. %macro FreeOrg 0
    
53. push dword[OrgDllHMod];DLL句柄
    
54. call [__imp__FreeLibrary@4]
    
55. %endmacro
    
56. 
    
57. ;==============================================================================
    
58. ;发出蜂鸣的宏
    
59. ;------------------------------------------------------------------------------
    
60. %macro Beep 2
    
61. push %2;时长
    
62. push %1;频率
    
63. call [__imp__Beep@8];蜂鸣
    
64. %endmacro
    
65. 
    
66. ;==============================================================================
    
67. ;DllMain
    
68. ;Dll的入口点
    
69. ;------------------------------------------------------------------------------
    
70. _DllMain@12:
    
71. ;判断是DLL加载还是DLL卸载
    
72. cmp dword[esp+8],DLL_PROCESS_ATTACH
    
73. jz .ProcAttach
    
74. cmp dword[esp+8],DLL_PROCESS_DETACH
    
75. jz .ProcDetach
    
76. jmp .EOFunc
    
77. 
    
78. ;DLL卸载
    
79. .ProcDetach:
    
80. Beep 500,100;发出音高比较低的蜂鸣
    
81. jmp .EOFunc
    
82. 
    
83. ;DLL加载
    
84. .ProcAttach:
    
85. Beep 1000,100;发出音高比较高的蜂鸣
    
86. 
    
87. .EOFunc:
    
88. mov eax,1
    
89. ret 12
    
90. 
    
91. ;==============================================================================
    
92. ;DirectSoundCreate
    
93. ;------------------------------------------------------------------------------
    
94. _DirectSoundCreate@12:
    
95. LoadOrg
    
96. push dword[esp+12]
    
97. push dword[esp+12]
    
98. push dword[esp+12]
    
99. CallOrg dword 1
    
100. FreeOrg
     
101. ret 12
     
102. 
     
103. ;==============================================================================
     
104. ;DirectSoundEnumerateA
     
105. ;------------------------------------------------------------------------------
     
106. _DirectSoundEnumerateA@8:
     
107. LoadOrg
     
108. push dword[esp+8]
     
109. push dword[esp+8]
     
110. CallOrg dword 2
     
111. FreeOrg
     
112. ret 8
     
113. 
     
114. ;==============================================================================
     
115. ;DirectSoundEnumerateW
     
116. ;------------------------------------------------------------------------------
     
117. _DirectSoundEnumerateW@8:
     
118. LoadOrg
     
119. push dword[esp+8]
     
120. push dword[esp+8]
     
121. CallOrg dword 3
     
122. FreeOrg
     
123. ret 8
     
124. 
     
125. ;==============================================================================
     
126. ;DllCanUnloadNow
     
127. ;------------------------------------------------------------------------------
     
128. _DllCanUnloadNow@0:
     
129. LoadOrg
     
130. CallOrg dword 4
     
131. FreeOrg
     
132. ret
     
133. 
     
134. ;==============================================================================
     
135. ;DllGetClassObject
     
136. ;------------------------------------------------------------------------------
     
137. _DllGetClassObject@12:
     
138. LoadOrg
     
139. push dword[esp+12]
     
140. push dword[esp+12]
     
141. push dword[esp+12]
     
142. CallOrg dword 5
     
143. FreeOrg
     
144. ret 12
     
145. 
     
146. ;==============================================================================
     
147. ;DirectSoundCaptureCreate
     
148. ;------------------------------------------------------------------------------
     
149. _DirectSoundCaptureCreate@12:
     
150. LoadOrg
     
151. push dword[esp+12]
     
152. push dword[esp+12]
     
153. push dword[esp+12]
     
154. CallOrg dword 6
     
155. FreeOrg
     
156. ret 12
     
157. 
     
158. ;==============================================================================
     
159. ;DirectSoundCaptureEnumerateA
     
160. ;------------------------------------------------------------------------------
     
161. _DirectSoundCaptureEnumerateA@8:
     
162. LoadOrg
     
163. push dword[esp+8]
     
164. push dword[esp+8]
     
165. CallOrg dword 7
     
166. FreeOrg
     
167. ret 8
     
168. 
     
169. ;==============================================================================
     
170. ;DirectSoundCaptureEnumerateW
     
171. ;------------------------------------------------------------------------------
     
172. _DirectSoundCaptureEnumerateW@8:
     
173. LoadOrg
     
174. push dword[esp+8]
     
175. push dword[esp+8]
     
176. CallOrg dword 8
     
177. FreeOrg
     
178. ret 8
     
179. 
     
180. ;==============================================================================
     
181. ;GetDeviceID
     
182. ;------------------------------------------------------------------------------
     
183. _GetDeviceID@8:
     
184. LoadOrg
     
185. push dword[esp+8]
     
186. push dword[esp+8]
     
187. CallOrg dword 9
     
188. FreeOrg
     
189. ret 8
     
190. 
     
191. ;==============================================================================
     
192. ;DirectSoundFullDuplexCreate
     
193. ;------------------------------------------------------------------------------
     
194. _DirectSoundFullDuplexCreate@40:
     
195. LoadOrg
     
196. push dword[esp+40]
     
197. push dword[esp+40]
     
198. push dword[esp+40]
     
199. push dword[esp+40]
     
200. push dword[esp+40]
     
201. push dword[esp+40]
     
202. push dword[esp+40]
     
203. push dword[esp+40]
     
204. push dword[esp+40]
     
205. push dword[esp+40]
     
206. CallOrg dword 10
     
207. FreeOrg
     
208. ret 40
     
209. 
     
210. ;==============================================================================
     
211. ;DirectSoundCreate8
     
212. ;------------------------------------------------------------------------------
     
213. _DirectSoundCreate8@12:
     
214. LoadOrg
     
215. push dword[esp+12]
     
216. push dword[esp+12]
     
217. push dword[esp+12]
     
218. CallOrg dword 11
     
219. push eax
     
220. FreeOrg
     
221. pop eax
     
222. ret 12
     
223. 
     
224. ;==============================================================================
     
225. ;DirectSoundCaptureCreate8
     
226. ;------------------------------------------------------------------------------
     
227. _DirectSoundCaptureCreate8@12:
     
228. LoadOrg
     
229. push dword[esp+12]
     
230. push dword[esp+12]
     
231. push dword[esp+12]
     
232. CallOrg dword 12
     
233. FreeOrg
     
234. ret 12
     
235. 
     
236. ;数据段
     
237. segment .data
     
238. OrgDllName db "c:\windows\system32\dsound.dll";原始DLL路径
     
239. OrgDllHMod dd 0;原始DLL句柄

复制代码

这个源码需要用nasm编译，然后用link链接（VC6的link），你需要链接的库是kernel32.lib
SRC: DummyDS.7z (587.41 KB, 下载次数: 9, 售价: 2 个宅币)

2014-7-22 01:54 上传

点击文件名下载附件

我这个帖子只是举一个举一反三的作用。大家看了可以编写别的DLL的劫持程序。

0xAA55

不知道如何编译链接的，可以下载我提供的源码，它自带了编译器、库、编译批命令。
其实你完全不需要用汇编来写，C语言照样可以。其实严格来说，对于COM的DLL，VB都能编写劫持的东西。

CTW

支持AA55分享精神