求助，hook一函数搞不定了-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼在你的hook函数内部先pushad pushfd一下再将要跳向原函数时再popfd popad一下 2010-6-30 14:52 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 3 楼好的，现在改成这样了 void WINAPI MyFunc(DWORD dwParam1, DWORD dwParam2, DWORD dwParam3) { __asm pushad __asm pushfd DWORD dwEcx = 0; __asm mov dwEcx, ecx TCHAR strBuffer[260] = {0}; _stprintf(strBuffer, _T("ecx: %x, dwParam1: %x,dwParam2: %x, dwParam3:%x"), dwEcx, dwParam1, dwParam2, dwParam3); OutputDebugString(strBuffer); hj.Lock(); hj.SetHookOff(); MessageBeep(MB_ABORTRETRYIGNORE); OutputDebugString(_T("hhhhook~~1")); __asm{ popfd popad call FuncToDetour; } hj.SetHookOn(); OutputDebugString(_T("hhhhook~~2")); hj.Unlock(); }; 运行后ecx输出是0，但这次"hhhhook~~2"这个信息输出来了，之前一直没输出这个。运行后还是弹了个错误的窗口出来，提示 run time check failure #0 - the value of esp was not properly saved across a function call.this is usually a result of calling a function declared with one calling convention with a function pointer declared with a different calling convention. 看错误好像在说我调用的函数原型和真正的函数不一样是么 2010-6-30 15:08 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 4 楼堆栈被破坏了改成naked函数函数名称前+__declspec( naked ) 修饰 2010-6-30 15:29 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 5 楼谢谢风随雨行。这样改完后，那个对话框是不出现了，但目标程序也挂掉了，还有可能是哪里的问题呢 2010-6-30 15:41 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 6 楼那我就不清楚了，剩下的就是你自己调试去吧从上面的代码也不好看出什么东西出来 2010-6-30 16:16 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 7 楼还是谢谢您。希望还有高手能来帮帮忙现在我的函数让我改成下面这样，当然问题还存在，运行完后目标程序就挂了. void __declspec( naked ) MyFunc(DWORD dwParam1, DWORD dwParam2, DWORD dwParam3) { __asm pushad __asm pushfd hj.Lock(); hj.SetHookOff(); //还原5个字节 //OnMyPro(dwParam1, dwParam2, dwParam3); OutputDebugString(_T("hhhhook~~1")); __asm{ popfd popad call FuncToDetour; } hj.SetHookOn(); //重新修改5个字节 OutputDebugString(_T("hhhhook~~2")); hj.Unlock(); __asm retn 0x0c }; 2010-6-30 16:35 0
opensrc 雪币： 160 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	opensrc 1 8 楼出了什么问题？究竟怎么解决的？楼主请谈谈最终问题的原因和解决方案啊。 2010-7-15 17:02 0
驽马雪币： 167 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	驽马 9 楼在调用 target detour function, 恢复ecx, 因为ecx可以在前面的过程中改变. 2010-7-15 17:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼在你的hook函数内部先pushad pushfd一下再将要跳向原函数时再popfd popad一下 2010-6-30 14:52 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 3 楼好的，现在改成这样了 void WINAPI MyFunc(DWORD dwParam1, DWORD dwParam2, DWORD dwParam3) { __asm pushad __asm pushfd DWORD dwEcx = 0; __asm mov dwEcx, ecx TCHAR strBuffer[260] = {0}; _stprintf(strBuffer, _T("ecx: %x, dwParam1: %x,dwParam2: %x, dwParam3:%x"), dwEcx, dwParam1, dwParam2, dwParam3); OutputDebugString(strBuffer); hj.Lock(); hj.SetHookOff(); MessageBeep(MB_ABORTRETRYIGNORE); OutputDebugString(_T("hhhhook~~1")); __asm{ popfd popad call FuncToDetour; } hj.SetHookOn(); OutputDebugString(_T("hhhhook~~2")); hj.Unlock(); }; 运行后ecx输出是0，但这次"hhhhook~~2"这个信息输出来了，之前一直没输出这个。运行后还是弹了个错误的窗口出来，提示 run time check failure #0 - the value of esp was not properly saved across a function call.this is usually a result of calling a function declared with one calling convention with a function pointer declared with a different calling convention. 看错误好像在说我调用的函数原型和真正的函数不一样是么 2010-6-30 15:08 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 4 楼堆栈被破坏了改成naked函数函数名称前+__declspec( naked ) 修饰 2010-6-30 15:29 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 5 楼谢谢风随雨行。这样改完后，那个对话框是不出现了，但目标程序也挂掉了，还有可能是哪里的问题呢 2010-6-30 15:41 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 6 楼那我就不清楚了，剩下的就是你自己调试去吧从上面的代码也不好看出什么东西出来 2010-6-30 16:16 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 7 楼还是谢谢您。希望还有高手能来帮帮忙现在我的函数让我改成下面这样，当然问题还存在，运行完后目标程序就挂了. void __declspec( naked ) MyFunc(DWORD dwParam1, DWORD dwParam2, DWORD dwParam3) { __asm pushad __asm pushfd hj.Lock(); hj.SetHookOff(); //还原5个字节 //OnMyPro(dwParam1, dwParam2, dwParam3); OutputDebugString(_T("hhhhook~~1")); __asm{ popfd popad call FuncToDetour; } hj.SetHookOn(); //重新修改5个字节 OutputDebugString(_T("hhhhook~~2")); hj.Unlock(); __asm retn 0x0c }; 2010-6-30 16:35 0
opensrc 雪币： 160 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	opensrc 1 8 楼出了什么问题？究竟怎么解决的？楼主请谈谈最终问题的原因和解决方案啊。 2010-7-15 17:02 0
驽马雪币： 167 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	驽马 9 楼在调用 target detour function, 恢复ecx, 因为ecx可以在前面的过程中改变. 2010-7-15 17:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复