分析IatHook并实现

无尽的思念

  Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的，与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构才能完成 Hook，接下来将具体分析 IAT Hook 的实现原理，并编写一个DLL注入文件，实现 IAT Hook 。

  在早些年系统中运行的都是DOS应用，所以DOS头结构就是在那个年代产生的，那时候还没有PE结构的概念，不过软件行业发展到今天DOS头部分的功能已经无意义了，但为了最大的兼容性微软还是保留了DOS文件头，有些软件在识别程序是不是可执行文件的时候通常会读取PE文件的前两个字节来判断是不是MZ。

上图就是PE文件中的DOS部分，典型的DOS开头ASCII字符串MZ幻数，MZ是Mark Zbikowski的缩写，Mark Zbikowski是MS-DOS的主要开发者之一，很显然这个人给微软做出了巨大的贡献。
在DOS格式部分我们只需要关注标红部分，标红部分是一个偏移值000000F8h该偏移值指向了PE文件中的标绿部分00004550指向PE字符串的位置，此外标黄部分为DOS提示信息，当我们在DOS模式下执行一个可执行文件时会弹出This program cannot be run in DOS mode.提示信息。

  上图中在PE字符串开头位置向后偏移1字节，就能看到黄色的014C此处代表的是机器类别的十六进制表示形式，在向后偏移1个字节是紫色的0006代表的是程序中的区段数，继续向后偏移1字节会看到蓝色的5DB93874此处是一个时间戳，代表的是自1970年1月1日至当前时间的总秒数，继续向后可看到灰色的000C此处代表的是链接器的具体版本。

  上图中我们以PE字符串为单位向后偏移36字节，即可看到文件偏移为120处的内容，此处的内容是我们要重点研究的对象。
  在文件FOA偏移为120的位置，可以看到标红色的地址0001121C此处代表的是程序装入内存后的入口点(虚拟地址)，而紧随其后的橙色部分00001000就是代码段的基址，其后的粉色部分是数据段基址，在数据基址向后偏移1字节可看到紫色的00400000此处就是程序的建议装入地址，如果编译器没有开启基址随机化的话，此处默认就是00400000，开启随机化后建议装入地址与实际地址将不符合。
  继续向下文件FOA偏移为130的位置，第一处浅蓝色部分00001000为区段之间的对齐值，深蓝色部分00002000为文件对其值。