[求助]VC怎么HOOK 获取寄存器的值(HOOK 获取recv socket套接字)?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 2 楼学会API HOOK 就行了 2013-6-9 04:13 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 3 楼纠正一点,你要获取的不是寄存器.而是堆栈,有可能因为调用Recv的不同而不是用EAX寄存器,所以用EAX寄存器是不可靠的 Recv(SOCKET s,char*buff...);的SOCKET是压入堆栈的.所以是ESP+4 写个HOOK .. Recv JMP到裸函数然后过滤 void WINAPI GetSocket(SOCKETs) { //这就是你要的SOCKET } __declspec(naked) void __stdcall RecvEx() { __asm{ mov eax,dword ptr [esp+04h] push esp push eax CALL GetSocket pop esp ;函数原始的代码 mov edi,edi push ebp mov ebp,esp mov eax,Recv;原始函数入口+5 add eax,5 jmp eax } } 大概这样.......纯裸眼写,应该不会错 2013-6-9 04:28 0
wjuid 雪币： 36 活跃值： (45) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	wjuid 4 楼去找下inline hook 的资料，先接管再转到原先的函数就可以了 2013-6-9 07:48 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 5 楼 Inline Hook 资料应该很多。库也很多。 2013-6-9 09:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 2 楼学会API HOOK 就行了 2013-6-9 04:13 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 3 楼纠正一点,你要获取的不是寄存器.而是堆栈,有可能因为调用Recv的不同而不是用EAX寄存器,所以用EAX寄存器是不可靠的 Recv(SOCKET s,char*buff...);的SOCKET是压入堆栈的.所以是ESP+4 写个HOOK .. Recv JMP到裸函数然后过滤 void WINAPI GetSocket(SOCKETs) { //这就是你要的SOCKET } __declspec(naked) void __stdcall RecvEx() { __asm{ mov eax,dword ptr [esp+04h] push esp push eax CALL GetSocket pop esp ;函数原始的代码 mov edi,edi push ebp mov ebp,esp mov eax,Recv;原始函数入口+5 add eax,5 jmp eax } } 大概这样.......纯裸眼写,应该不会错 2013-6-9 04:28 0
wjuid 雪币： 36 活跃值： (45) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	wjuid 4 楼去找下inline hook 的资料，先接管再转到原先的函数就可以了 2013-6-9 07:48 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 5 楼 Inline Hook 资料应该很多。库也很多。 2013-6-9 09:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复