مقدمه
در حالت پیشرفتهی تزریق وابستگیها در دات نت، با توجه به اینکه کار وهله سازی کلاسها به یک کتابخانه جانبی به نام IoC Container واگذار میشود، امکان یک سری دخل و تصرف نیز در این میان فراهم میگردد. برای مثال الان که ما میتوانیم یک کلاس را توسط IoC container به صورت خودکار وهله سازی کنیم، خوب، چرا اجرای متدهای آنرا تحت نظر قرار ندهیم. مثلا حاصل آنها را بتوانیم پیش از اینکه به فراخوان بازگشت داده شود، کش کنیم یا کلا تغییر دهیم. به این کار AOP یا Aspect orinted programming نیز گفته میشود.
واقعیت این است که یک چنین مفهومی از سالهای دور به نام Hooking در برنامههای WIN32 API خالص نیز وجود داشته است. Hookها یا قلابها دقیقا کار Interception دنیای AOP را انجام میدهند. به این معنا که خودشان را بجای یک متد ثبت کرده و کار ردیابی یا حتی تغییر عملکرد آن متد خاص را میتوانند انجام دهند. برای مثال اگر برای متد gethostbyname ویندوز یک Hook بنویسیم، برنامه استفاده کننده، تنها متد ما را بجای متد اصلی gethostbyname واقع در Kernel32 ویندوز، مشاهده میکند و درخواستهای DNS خودش را به این متد ویژه ما ارسال خواهد کرد؛ بجای ارسال درخواستها به متد اصلی. در این بین میتوان درخواستهای DNS را لاگ کرد و یا حتی تغییر جهت داد.
انجام Interception در دنیای دات نت با استفاده از امکانات Reflection و Reflection.Emit قابل انجام است و یا حتی بازنویسی اسمبلیها و افزودن کدهای IL مورد نیاز به آنها که به آن IL Weaving هم گفته میشود. اما در دنیای WIN32 انجام چنین کاری ساده نیست و ترکیبی است از زبان اسمبلی و کتابخانههای نوشته شده به زبان C.
برای ساده سازی نوشتن Hookهای ویندوزی، کتابخانهای به نام easy hook ارائه شده است که امکان تزریق Hookهای دات نتی را به درون پروسه برنامههای Native ویندوز دارد. این قلابها که در اینجا متدهای دات نتی هستند، نهایتا بجای توابع اصلی ویندوز جا زده خواهند شد. بنابراین میتوانند عملیات آنها را ردیابی کنند و یا حتی پارامترهای آنها را دریافت و مقدار دیگری را بجای تابع اصلی، بازگشت دهند. در ادامه قصد داریم اصول و نکات کار با easy hook را در طی یک مثال بررسی کنیم.
صورت مساله
میخواهیم کلیه درخواستهای تاریخ اکسپلورر ویندوز را ردیابی کرده و بجای ارائه تاریخ استاندارد میلادی، تاریخ شمسی را جایگزین آن کنیم.
از کجا شروع کنیم؟
ابتدا باید دریابیم که اکسپلورر ویندوز از چه توابع API ایی برای پردازشهای درخواستهای تاریخ و ساعت خودش استفاده میکند، تا بتوانیم برای آنها Hook بنویسیم. برای این منظور میتوان از برنامهی بسیار مفیدی به نام API Monitor استفاده کرد. این برنامهی رایگان را از آدرس ذیل میتوانید دریافت کنید:
اگر علاقمند به ردیابی برنامههای 32 بیتی هستید باید apimonitor-x86.exe را اجرا کنید و اگر نیاز به ردیابی برنامههای 64 بیتی دارید باید apimonitor-x64.exe را اجرا نمائید. بنابراین اگر پس از اجرای این برنامه، برای مثال فایرفاکس را در لیست پروسههای آن مشاهده نکردید، یعنی apimonitor-x64.exe را اجرا کردهاید؛ از این جهت که فایرفاکس عمومی تا این تاریخ، نسخه 32 بیتی است و نه 64 بیتی.
پس از اجرای برنامه API Monitor، در قسمت API Filter آن باید مشخص کنیم که علاقمند به ردیابی کدامیک از توابع API ویندوز هستیم. در اینجا چون نمیدانیم دقیقا کدام تابع کار ارائه تاریخ را به اکسپلورر ویندوز عهده دار است، شروع به جستجو میکنیم و هر تابعی را که نام date یا time در آن وجود داشت، تیک میزنیم تا در کار ردیابی لحاظ شود.
سپس نیاز است بر روی نام اکسپلورر در لیست پروسههای این برنامه کلیک راست کرده و گزینه Start monitoring را انتخاب کرد:
اندکی صبر کنید یا یک صفحه جدید اکسپلورر ویندوز را باز کنید تا کار ردیابی شروع شود:
همانطور که مشاهده میکنید، ویندوز برای ردیابی تاریخ در اکسپلورر خودش از توابع GetDateFormatW و GetTimeFormatW استفاده میکند. ابتدا یک تاریخ را توسط آرگومان lpDate یا lpTime به یکی از توابع یاد شده ارسال کرده و سپس خروجی را از آرگومان lpDateStr یا lpTimeStr دریافت میکند.
خوب؛ به نظر شما اگر این خروجیها را با یک ساعت و تاریخ شمسی جایگزین کنیم بهتر نیست؟!
نوشتن Hook برای توابع GetDateFormatW و GetTimeFormatW ویندوز اکسپلورر
ابتدا کتابخانه easy hook را از مخزن کد CodePlex آن دریافت کنید:
سپس یک پروژه کنسول ساده را آغاز کنید. همچنین به این Solution، یک پروژه Class library جدید را نیز اضافه نمائید. پروژه کنسول، کار نصب Hook را انجام میدهد و پروژه کتابخانهای اضافه شده، کار مدیریت هوکها را انجام خواهد داد. سپس به هر دو پروژه، ارجاعی را به اسمبلی EasyHook.dll اضافه کنید.
الف) ساختار کلی کلاس Hook
کلاس Hook واقع در پروژه Class library باید یک چنین امضایی را داشته باشد:
یعنی باید اینترفیس IEntryPoint کتابخانه easy hook را پیاده سازی کند. این اینترفیس خالی است و صرفا کار علامتگذاری کلاس Hook را انجام میدهد. همچنین این کلاس باید دارای سازندهای با امضایی که ملاحظه میکنید و یک متد Run، دقیقا با همین امضای فوق باشد.
ب) نوشتن توابع Hook
کار نوشتن قلاب برای توابع API ویندوز در متد Run انجام میشود. سپس باید توسط متد LocalHook.Create کار را شروع کرد. در اینجا مشخص میکنیم که نیاز است تابع GetDateFormatW واقع در kernel32.dll ردیابی شود.
در ادامه توسط یک delegate، کلیه فراخوانیهای ویندوز را که قرار است به GetDateFormatW اصلی ارسال شوند، ردیابی کرده و تغییر میدهیم.
ج) نحوه مشخص سازی امضای delegateهای Hook
اگر امضای متد GetDateFormatW به نحو ذیل باشد:
دقیقا delegate متناظر با آن نیز باید ابتدا توسط ویژگی UnmanagedFunctionPointer مزین شده و آن نیز دارای امضایی همانند تابع API اصلی باشد:
سپس callback نهایی که کار دریافت پیامهای ویندوز را انجام خواهد داد نیز، همان امضاء را خواهد داشت:
در اینجا برای تغییر فرمت تاریخ ویندوز تنها کافی است lpDateStr را مقدار دهی کنیم. ویندوز lpDate و سایر پارامترها را به این متد ارسال میکند؛ در اینجا فرصت خواهیم داشت تا بر اساس این اطلاعات، lpDateStr صحیحی را تولید و مقدار دهی کنیم.
د) نصب Hook نوشته شده
باید دقت داشت که هر دو برنامه نصاب Hook و همچنین کتابخانه Hook، باید دارای امضای دیجیتال باشند. بنابراین به برگه signing خواص پروژه مراجعه کرده و یک فایل snk را به هر دو پروژه اضافه نمائید.
سپس در برنامه نصاب، یک کلاس را با امضای ذیل تعریف کنید:
این کلاس با استفاده از امکانات Remoting دات نت، پیامهای دریافتی از هوک دات نتی تزریق شده به درون یک پروسه دیگر را دریافت میکند.
سپس در ابتدای برنامه نصاب، یک کانال Remoting باز شده (که آرگومان جنریک آن دقیقا همین نام کلاس MessagesReceiverInterface فوق را دریافت میکند)
و سپس توسط متد RemoteHooking.Inject کار تزریق ExplorerPCal.Hooks.dll به درون پروسه اکسپلورر ویندوز انجام میشود:
پارامتر اول متد RemoteHooking.Inject، شماره PID یک پروسه است. این شماره را از طریق متد Process.GetProcesses میتوان بدست آورد. سپس یک سری پیش فرض مشخص میشوند و در ادامه مسیر کامل دو DLL هوک دات نتی باید مشخص شوند. چون تنظیمات پروژه هوک را بر روی Any CPU قرار دادهایم، فقط کافی است یک نام DLL را برای هوکهای 64 بیتی و 32 بیتی ذکر کنیم.
پارامتر و پارامترهای بعدی، اطلاعاتی هستند که به سازنده کلاس هوک ارسال میشوند. بنابراین این سازنده میتواند تعداد پارامترهای متغیری داشته باشد:
چند نکته تکمیلی مهم برای کار با کتابخانه Easy hook
- کتابخانه easy hook فعلا با ویندوز 8 سازگار نیست.
- برای توزیع هوکهای خود باید تمام فایلهای همراه کتابخانه easy hook را نیز توزیع کنید و فقط به چند DLL ابتدایی آن بسنده نباید کرد.
- اگر هوک شما بلافاصله سبب کرش پروسه هدف شد، یعنی امضای تابع API شما ایراد دارد و نیاز است چندین و سایت را جهت یافتن امضایی صحیح بررسی کنید. برای مثال در امضای عمومی متد GetDateFormatW، پارامتر SystemTime به صورت struct تعریف شده است؛ درحالیکه ویندوز ممکن است برای دریافت زمان جاری به این پارامتر نال ارسال کند. اما struct دات نت برخلاف struct زبان C یک value type است و نال پذیر نیست. به همین جهت کلیه امضاهای عمومی که در مورد این متد در اینترنت یافت میشوند، در عمل غلط هستند و باید SystemTime را یک کلاس دات نتی که Refrence type است، تعریف کرد تا نال پذیر شود و hook کرش نکرده یا اشتباه عمل نکند.
- زمانیکه یک هوک easy hook بر روی پروسه هدف نصب میشود، دیگر قابل unload کامل نیست و نیاز است برای کارهای برنامه نویسی و به روز رسانی فایل dll جدید، پروسه هدف را خاتمه داد.
- متد Run هوک باید همیشه در حال اجرا باشد تا توسط CLR بلافاصه خاتمه نیافته و هوک از حافظه خارج نشود. اینکار را توسط روش ذیل انجام دهید:
تا زمانیکه برنامه نصاب هوک که توسط Remoting دات نت، کانالی را به این هوک گشوده است، باز است، حلقه فوق اجرا میشود. با بسته شدن برنامه نصاب، متد Ping دیگر قابل دستیابی نبوده و بلافاصله این حلقه خاتمه مییابد.
- استفاده همزمان از API Monitor ذکر شده در ابتدای بحث و یک هوک نصب شده، سبب کرش برنامه هدف خواهد شد.
سورس کامل این پروژه را در اینجا میتوانید دریافت کنید
در حالت پیشرفتهی تزریق وابستگیها در دات نت، با توجه به اینکه کار وهله سازی کلاسها به یک کتابخانه جانبی به نام IoC Container واگذار میشود، امکان یک سری دخل و تصرف نیز در این میان فراهم میگردد. برای مثال الان که ما میتوانیم یک کلاس را توسط IoC container به صورت خودکار وهله سازی کنیم، خوب، چرا اجرای متدهای آنرا تحت نظر قرار ندهیم. مثلا حاصل آنها را بتوانیم پیش از اینکه به فراخوان بازگشت داده شود، کش کنیم یا کلا تغییر دهیم. به این کار AOP یا Aspect orinted programming نیز گفته میشود.
واقعیت این است که یک چنین مفهومی از سالهای دور به نام Hooking در برنامههای WIN32 API خالص نیز وجود داشته است. Hookها یا قلابها دقیقا کار Interception دنیای AOP را انجام میدهند. به این معنا که خودشان را بجای یک متد ثبت کرده و کار ردیابی یا حتی تغییر عملکرد آن متد خاص را میتوانند انجام دهند. برای مثال اگر برای متد gethostbyname ویندوز یک Hook بنویسیم، برنامه استفاده کننده، تنها متد ما را بجای متد اصلی gethostbyname واقع در Kernel32 ویندوز، مشاهده میکند و درخواستهای DNS خودش را به این متد ویژه ما ارسال خواهد کرد؛ بجای ارسال درخواستها به متد اصلی. در این بین میتوان درخواستهای DNS را لاگ کرد و یا حتی تغییر جهت داد.
انجام Interception در دنیای دات نت با استفاده از امکانات Reflection و Reflection.Emit قابل انجام است و یا حتی بازنویسی اسمبلیها و افزودن کدهای IL مورد نیاز به آنها که به آن IL Weaving هم گفته میشود. اما در دنیای WIN32 انجام چنین کاری ساده نیست و ترکیبی است از زبان اسمبلی و کتابخانههای نوشته شده به زبان C.
برای ساده سازی نوشتن Hookهای ویندوزی، کتابخانهای به نام easy hook ارائه شده است که امکان تزریق Hookهای دات نتی را به درون پروسه برنامههای Native ویندوز دارد. این قلابها که در اینجا متدهای دات نتی هستند، نهایتا بجای توابع اصلی ویندوز جا زده خواهند شد. بنابراین میتوانند عملیات آنها را ردیابی کنند و یا حتی پارامترهای آنها را دریافت و مقدار دیگری را بجای تابع اصلی، بازگشت دهند. در ادامه قصد داریم اصول و نکات کار با easy hook را در طی یک مثال بررسی کنیم.
صورت مساله
میخواهیم کلیه درخواستهای تاریخ اکسپلورر ویندوز را ردیابی کرده و بجای ارائه تاریخ استاندارد میلادی، تاریخ شمسی را جایگزین آن کنیم.
از کجا شروع کنیم؟
ابتدا باید دریابیم که اکسپلورر ویندوز از چه توابع API ایی برای پردازشهای درخواستهای تاریخ و ساعت خودش استفاده میکند، تا بتوانیم برای آنها Hook بنویسیم. برای این منظور میتوان از برنامهی بسیار مفیدی به نام API Monitor استفاده کرد. این برنامهی رایگان را از آدرس ذیل میتوانید دریافت کنید:
اگر علاقمند به ردیابی برنامههای 32 بیتی هستید باید apimonitor-x86.exe را اجرا کنید و اگر نیاز به ردیابی برنامههای 64 بیتی دارید باید apimonitor-x64.exe را اجرا نمائید. بنابراین اگر پس از اجرای این برنامه، برای مثال فایرفاکس را در لیست پروسههای آن مشاهده نکردید، یعنی apimonitor-x64.exe را اجرا کردهاید؛ از این جهت که فایرفاکس عمومی تا این تاریخ، نسخه 32 بیتی است و نه 64 بیتی.
پس از اجرای برنامه API Monitor، در قسمت API Filter آن باید مشخص کنیم که علاقمند به ردیابی کدامیک از توابع API ویندوز هستیم. در اینجا چون نمیدانیم دقیقا کدام تابع کار ارائه تاریخ را به اکسپلورر ویندوز عهده دار است، شروع به جستجو میکنیم و هر تابعی را که نام date یا time در آن وجود داشت، تیک میزنیم تا در کار ردیابی لحاظ شود.
سپس نیاز است بر روی نام اکسپلورر در لیست پروسههای این برنامه کلیک راست کرده و گزینه Start monitoring را انتخاب کرد:
اندکی صبر کنید یا یک صفحه جدید اکسپلورر ویندوز را باز کنید تا کار ردیابی شروع شود:
همانطور که مشاهده میکنید، ویندوز برای ردیابی تاریخ در اکسپلورر خودش از توابع GetDateFormatW و GetTimeFormatW استفاده میکند. ابتدا یک تاریخ را توسط آرگومان lpDate یا lpTime به یکی از توابع یاد شده ارسال کرده و سپس خروجی را از آرگومان lpDateStr یا lpTimeStr دریافت میکند.
خوب؛ به نظر شما اگر این خروجیها را با یک ساعت و تاریخ شمسی جایگزین کنیم بهتر نیست؟!
نوشتن Hook برای توابع GetDateFormatW و GetTimeFormatW ویندوز اکسپلورر
ابتدا کتابخانه easy hook را از مخزن کد CodePlex آن دریافت کنید:
سپس یک پروژه کنسول ساده را آغاز کنید. همچنین به این Solution، یک پروژه Class library جدید را نیز اضافه نمائید. پروژه کنسول، کار نصب Hook را انجام میدهد و پروژه کتابخانهای اضافه شده، کار مدیریت هوکها را انجام خواهد داد. سپس به هر دو پروژه، ارجاعی را به اسمبلی EasyHook.dll اضافه کنید.
الف) ساختار کلی کلاس Hook
کلاس Hook واقع در پروژه Class library باید یک چنین امضایی را داشته باشد:
namespace ExplorerPCal.Hooks
{
public class GetDateTimeFormatInjection : IEntryPoint
{
public GetDateTimeFormatInjection(RemoteHooking.IContext context, string channelName)
{
// connect to host...
_interface = RemoteHooking.IpcConnectClient<MessagesReceiverInterface>(channelName);
_interface.Ping();
}
public void Run(RemoteHooking.IContext context, string channelName)
{
}
}
} ب) نوشتن توابع Hook
کار نوشتن قلاب برای توابع API ویندوز در متد Run انجام میشود. سپس باید توسط متد LocalHook.Create کار را شروع کرد. در اینجا مشخص میکنیم که نیاز است تابع GetDateFormatW واقع در kernel32.dll ردیابی شود.
public void Run(RemoteHooking.IContext context, string channelName)
{
GetDateFormatHook = LocalHook.Create(
InTargetProc: LocalHook.GetProcAddress("kernel32.dll", "GetDateFormatW"),
InNewProc: new GetDateFormatDelegate(getDateFormatInterceptor),
InCallback: this); ج) نحوه مشخص سازی امضای delegateهای Hook
اگر امضای متد GetDateFormatW به نحو ذیل باشد:
[DllImport("kernel32.dll", CallingConvention = CallingConvention.StdCall, CharSet = CharSet.Auto, SetLastError = true)]
public static extern int GetDateFormatW(
uint locale,
uint dwFlags, // NLS_DATE_FLAGS
SystemTime lpDate,
[MarshalAs(UnmanagedType.LPWStr)] string lpFormat,
StringBuilder lpDateStr,
int sbSize); [UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Auto, SetLastError = true)]
private delegate int GetDateFormatDelegate(
uint locale,
uint dwFlags,
SystemTime lpDate,
[MarshalAs(UnmanagedType.LPWStr)] string lpFormat,
StringBuilder lpDateStr,
int sbSize); private int getDateFormatInterceptor(
uint locale,
uint dwFlags,
SystemTime lpDate,
string lpFormat,
StringBuilder lpDateStr,
int sbSize)
{
} د) نصب Hook نوشته شده
باید دقت داشت که هر دو برنامه نصاب Hook و همچنین کتابخانه Hook، باید دارای امضای دیجیتال باشند. بنابراین به برگه signing خواص پروژه مراجعه کرده و یک فایل snk را به هر دو پروژه اضافه نمائید.
سپس در برنامه نصاب، یک کلاس را با امضای ذیل تعریف کنید:
public class MessagesReceiverInterface : MarshalByRefObject
{
public void Ping()
{
}
} سپس در ابتدای برنامه نصاب، یک کانال Remoting باز شده (که آرگومان جنریک آن دقیقا همین نام کلاس MessagesReceiverInterface فوق را دریافت میکند)
var channel = RemoteHooking.IpcCreateServer<MessagesReceiverInterface>(ref _channelName, WellKnownObjectMode.SingleCall);
RemoteHooking.Inject( explorer.Id, InjectionOptions.Default | InjectionOptions.DoNotRequireStrongName, "ExplorerPCal.Hooks.dll", // 32-bit version (the same, because of using AnyCPU) "ExplorerPCal.Hooks.dll", // 64-bit version (the same, because of using AnyCPU) _channelName );
پارامتر و پارامترهای بعدی، اطلاعاتی هستند که به سازنده کلاس هوک ارسال میشوند. بنابراین این سازنده میتواند تعداد پارامترهای متغیری داشته باشد:
.ctor(IContext, %ArgumentList%) void Run(IContext, %ArgumentList%)
چند نکته تکمیلی مهم برای کار با کتابخانه Easy hook
- کتابخانه easy hook فعلا با ویندوز 8 سازگار نیست.
- برای توزیع هوکهای خود باید تمام فایلهای همراه کتابخانه easy hook را نیز توزیع کنید و فقط به چند DLL ابتدایی آن بسنده نباید کرد.
- اگر هوک شما بلافاصله سبب کرش پروسه هدف شد، یعنی امضای تابع API شما ایراد دارد و نیاز است چندین و سایت را جهت یافتن امضایی صحیح بررسی کنید. برای مثال در امضای عمومی متد GetDateFormatW، پارامتر SystemTime به صورت struct تعریف شده است؛ درحالیکه ویندوز ممکن است برای دریافت زمان جاری به این پارامتر نال ارسال کند. اما struct دات نت برخلاف struct زبان C یک value type است و نال پذیر نیست. به همین جهت کلیه امضاهای عمومی که در مورد این متد در اینترنت یافت میشوند، در عمل غلط هستند و باید SystemTime را یک کلاس دات نتی که Refrence type است، تعریف کرد تا نال پذیر شود و hook کرش نکرده یا اشتباه عمل نکند.
- زمانیکه یک هوک easy hook بر روی پروسه هدف نصب میشود، دیگر قابل unload کامل نیست و نیاز است برای کارهای برنامه نویسی و به روز رسانی فایل dll جدید، پروسه هدف را خاتمه داد.
- متد Run هوک باید همیشه در حال اجرا باشد تا توسط CLR بلافاصه خاتمه نیافته و هوک از حافظه خارج نشود. اینکار را توسط روش ذیل انجام دهید:
try
{
while (true)
{
Thread.Sleep(500);
_interface.Ping();
}
}
catch
{
_interface = null;
// .NET Remoting will raise an exception if host is unreachable
} - استفاده همزمان از API Monitor ذکر شده در ابتدای بحث و یک هوک نصب شده، سبب کرش برنامه هدف خواهد شد.
سورس کامل این پروژه را در اینجا میتوانید دریافت کنید
