[原创]一个hooklib源码 for ring0 ring3 x86 amd64-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]一个hooklib源码 for ring0 ring3 x86 amd64

发表于: 2012-4-19 20:31 21406

[原创]一个hooklib源码 for ring0 ring3 x86 amd64

cherryEx

2012-4-19 20:31

21406

自己折腾的一个hooklib，使用distorm解析指令
支持 ring0 & ring3 以及 x86 & amd64
先贴点代码体现以下这个lib的使用特点

先看，这部分是经典的inline hook的代码，这风格觉得算经典吧

//去msdn或xxx.h抄一个来定义原型
typedef VOID (WINAPI *T_OutputDebugStringW)( LPCWSTR lpOutputString );
//申明一个变量直接调用原函数
T_OutputDebugStringW old_OutputDebugStringW;

//申明自己的handler
int WINAPI my_OutputDebugStringW( LPCWSTR lpOutputString )
{
	//调用原函数功能
	return old_OutputDebugStringW(lpOutputString);
}

//安装hook
old_OutputDebugStringW = OutputDebugStringW;
install_hook(&old_OutputDebugStringW, my_OutputDebugStringW);

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

inlinehook.rar （108.02kb，955次下载）

收藏・67

免费・6

支持

最新回复 (18)
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 2 楼 sf,这个感脚好流逼啊 2012-4-19 23:45 0
muyen 雪币： 309 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	muyen 3 楼这年头板凳没人占,我来占了,详细,感谢,收藏了 2012-4-19 23:57 0
jordonA 雪币： 66 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 89 粉丝 0 关注私信	jordonA 4 楼多谢，我也写了一个，但是64位的跳转方法我这里一直有问题没有处理掉。 2012-4-20 08:50 0
xicao 雪币： 243 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 5 楼不错，有用，收藏了。64位将是主战场 2012-4-20 09:11 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 6 楼两个月前的帖子居然被通知变精华了，实在是非常的鼓舞啊~~ 终于射&精了 2012-6-9 23:18 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 7 楼 2012-6-10 10:20 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 8 楼 for ring0 ring3 x86 amd64，这一句吓了我一跳。 2012-6-12 18:53 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 9 楼正求个通用的hook类库呢、 2012-9-20 01:31 0
游戏神通雪币： 51 活跃值： (61) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 172 粉丝 2 关注私信	游戏神通 10 楼 sounds great 2012-9-20 09:00 0
bolide 雪币： 216 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	bolide 11 楼不错，支持。。。。。 2012-11-28 09:07 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 12 楼感谢分享~ 看看 2012-11-28 09:25 0
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 13 楼这么好的东西难得找到。 2013-3-16 11:25 0
xhlovewzx 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xhlovewzx 15 楼正准备学习HOOK技术，谢谢。 2013-3-21 19:56 0
KooJiSung 雪币： 357 活跃值： (3443) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 16 楼不错..... 2013-3-21 20:41 0
冰糖雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	冰糖 17 楼看懂是啥的顺便留个言 2013-3-22 15:49 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 18 楼好东西正需要了，收藏了 2013-11-4 02:03 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 19 楼 Hook库在x64下备份指令做解析的时候有问题，导致解析x64下的JMP时候必然出错导致挂掉：比如原始指令形如： notepad!WinMainCRTStartup: 00000000`ff233570 4883ec28 sub rsp,28h 00000000`ff233574 e807feffff call notepad!_security_init_cookie (00000000`ff233380) 00000000`ff233579 4883c428 add rsp,28h 00000000`ff23357d eb11 jmp notepad!DisplayNonGenuineDlgWorker+0x14c (00000000`ff233590) 使用楼主的HOOK库后，中转跳板的指令是错误的： sudami64!Trampoline_myfunc: 00000001`80001e80 4883ec28 sub rsp,28h 00000001`80001e84ff1543000000 call qword ptr [sudami64!Trampoline_myfunc+0x4d (00000001`80001ecd)] // 这个跳转解析错误，一执行就会崩溃 00000001`80001e8a 4883c428 add rsp,28h 00000001`80001e8e eb11 jmp sudami64!Trampoline_myfunc+0x21 (00000001`80001ea1) // 这个短跳楼主干脆没有解析，于是跳错了看来对x64的支持不行啊。 2013-11-22 18:33 0
stonly 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	stonly 20 楼 x64下确实不行。 2014-3-16 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cherryEx

发帖

195

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 2 楼 sf,这个感脚好流逼啊 2012-4-19 23:45 0
muyen 雪币： 309 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	muyen 3 楼这年头板凳没人占,我来占了,详细,感谢,收藏了 2012-4-19 23:57 0
jordonA 雪币： 66 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 89 粉丝 0 关注私信	jordonA 4 楼多谢，我也写了一个，但是64位的跳转方法我这里一直有问题没有处理掉。 2012-4-20 08:50 0
xicao 雪币： 243 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 5 楼不错，有用，收藏了。64位将是主战场 2012-4-20 09:11 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 6 楼两个月前的帖子居然被通知变精华了，实在是非常的鼓舞啊~~ 终于射&精了 2012-6-9 23:18 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 7 楼 2012-6-10 10:20 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 8 楼 for ring0 ring3 x86 amd64，这一句吓了我一跳。 2012-6-12 18:53 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 9 楼正求个通用的hook类库呢、 2012-9-20 01:31 0
游戏神通雪币： 51 活跃值： (61) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 172 粉丝 2 关注私信	游戏神通 10 楼 sounds great 2012-9-20 09:00 0
bolide 雪币： 216 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	bolide 11 楼不错，支持。。。。。 2012-11-28 09:07 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 12 楼感谢分享~ 看看 2012-11-28 09:25 0
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 13 楼这么好的东西难得找到。 2013-3-16 11:25 0
xhlovewzx 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xhlovewzx 15 楼正准备学习HOOK技术，谢谢。 2013-3-21 19:56 0
KooJiSung 雪币： 357 活跃值： (3443) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 16 楼不错..... 2013-3-21 20:41 0
冰糖雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	冰糖 17 楼看懂是啥的顺便留个言 2013-3-22 15:49 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 18 楼好东西正需要了，收藏了 2013-11-4 02:03 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 19 楼 Hook库在x64下备份指令做解析的时候有问题，导致解析x64下的JMP时候必然出错导致挂掉：比如原始指令形如： notepad!WinMainCRTStartup: 00000000`ff233570 4883ec28 sub rsp,28h 00000000`ff233574 e807feffff call notepad!_security_init_cookie (00000000`ff233380) 00000000`ff233579 4883c428 add rsp,28h 00000000`ff23357d eb11 jmp notepad!DisplayNonGenuineDlgWorker+0x14c (00000000`ff233590) 使用楼主的HOOK库后，中转跳板的指令是错误的： sudami64!Trampoline_myfunc: 00000001`80001e80 4883ec28 sub rsp,28h 00000001`80001e84ff1543000000 call qword ptr [sudami64!Trampoline_myfunc+0x4d (00000001`80001ecd)] // 这个跳转解析错误，一执行就会崩溃 00000001`80001e8a 4883c428 add rsp,28h 00000001`80001e8e eb11 jmp sudami64!Trampoline_myfunc+0x21 (00000001`80001ea1) // 这个短跳楼主干脆没有解析，于是跳错了看来对x64的支持不行啊。 2013-11-22 18:33 0
stonly 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	stonly 20 楼 x64下确实不行。 2014-3-16 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复