[求助]Ring3 Inline Hook 堆栈问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]Ring3 Inline Hook 堆栈问题

发表于: 2010-4-11 15:26 5625

[求助]Ring3 Inline Hook 堆栈问题

wjwmz

2010-4-11 15:26

5625

利用在函数头写jmp，实现跳转到我的处理函数。为什么堆栈不平衡？恳请各位大牛帮助！
PS:按晕菜菜大牛修改后，esp是不出错了，但会出现两次MessageBox。在反汇编窗口调试时，第一次Call MessageBoxA 后参数错了，MessageBox的内容也错了。第二次出现时则正常
希望大家帮忙！

100

101

102

103

#include <windows.h>
#include <stdio.h>
 
#define CODELEN 7
 
typedef struct _HOOKDATA_
{
    BYTE OriCode[CODELEN];
    BYTE HookCode[CODELEN];
    PVOID OriAddr;
    PVOID FakeAddr;
    HANDLE hProc;
}HOOKDATA, *PHOOKDATA;
 
int InitHook(PHOOKDATA HookData, char *DllName, char *ExportName, PVOID FakeAddr)
{
    // Set OriAddr
    HookData->OriAddr = GetProcAddress(GetModuleHandle(DllName), ExportName);
    if (HookData->OriAddr == 0)
    {
        return 1;
    }
     
    // Set hProc
    HookData->hProc = OpenProcess(PROCESS_ALL_ACCESS, 0, GetCurrentProcessId());
    if (!HookData->hProc)
    {
        return 2;
    }
     
    // Set FakeAddr
    HookData->FakeAddr = FakeAddr;
     
    // Set HookCode
    HookData->HookCode[0] = 0xb8;
    HookData->HookCode[5] = 0xff;
    HookData->HookCode[6] = 0xe0;
    memcpy((PVOID)(HookData->HookCode + 1), &(HookData->FakeAddr), 4);
     
    return 0;
}
 
int SetHook(PHOOKDATA HookData)
{
    DWORD dwTmp;
     
    // Set the attribute of memory
    if (!VirtualProtect(HookData->OriAddr, CODELEN, PAGE_EXECUTE_READWRITE, &dwTmp))
    {
        return 1;
    }
     
    // Return the original data
    if (!ReadProcessMemory(HookData->hProc, HookData->OriAddr, HookData->OriCode, CODELEN, NULL))
    {
        return 2;
    }
     
    // Write the head of function
    if (!WriteProcessMemory(HookData->hProc, HookData->OriAddr, HookData->HookCode, CODELEN, NULL))
    {
        return 3;
    }
     
    return 0;
}
 
int RemoveHook(PHOOKDATA HookData)
{
    if (!WriteProcessMemory(HookData->hProc, HookData->OriAddr, HookData->OriCode, CODELEN, NULL))
    {
        return 1;
    }
     
    return 0;
}
 
// WINAPI 已按晕菜菜大牛的要求添加
HANDLE [COLOR="Red"]WINAPI [/COLOR]MyOpenProcess(
    DWORD dwDesiredAccess,
    BOOL bInheritHandle,
    DWORD dwProcessId
    )
{
    char buf[255];
    sprintf(buf, "Acc:%ld\nInh:%ld\nPID:%d\n", dwDesiredAccess, bInheritHandle, dwProcessId);
    MessageBox(NULL, buf, "Wonderful!", 0);
    // 已按晕菜菜大牛删除
    //__asm
    //{
    //  sub esp,12
    //}
    return 0;
}
 
int main()
{
    HOOKDATA HookData;
    memset(&HookData, 0, sizeof(HOOKDATA));
    printf("Init:%d\n", InitHook(&HookData, "kernel32.dll", "OpenProcess", MyOpenProcess));
    printf("Set:%d\n", SetHook(&HookData));
    OpenProcess(1, 2, 3);
}

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・1

免费

支持

最新回复 (2)
晕菜菜雪币： 245 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	晕菜菜 2 楼修改： HANDLE WINAPI MyOpenProcess( 删除： __asm { sub esp,12 } 2010-4-11 16:33 0
wjwmz 雪币： 43 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	wjwmz 3 楼看来 _cdel 和 pascal 不一样啊谢谢！学习了！但是还有问题啊 2010-4-11 20:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wjwmz

发帖

回帖

RANK

关注

私信

他的文章

一个代码混淆器的思路 11024
关于LCCrypto中的重定位 3933
[原创][更新]Extreme HookEngine——Ring3 API Hook 静态库 19413
Ring3 EAT Hook 8306
[求助]Ring3 Inline Hook 堆栈问题 5626

关于我们

联系我们

企业服务

看雪公众号

最新回复 (2)
晕菜菜雪币： 245 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	晕菜菜 2 楼修改： HANDLE WINAPI MyOpenProcess( 删除： __asm { sub esp,12 } 2010-4-11 16:33 0
wjwmz 雪币： 43 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	wjwmz 3 楼看来 _cdel 和 pascal 不一样啊谢谢！学习了！但是还有问题啊 2010-4-11 20:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]Ring3 Inline Hook 堆栈问题

账号登录 验证码登录

账号登录

验证码登录