[讨论]inline hook修改指令时多线程问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
spman 雪币： 729 活跃值： (1195) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 73 粉丝 2 关注私信	spman 2 楼 EB FE 2013-7-16 16:02 0
thisIs 雪币： 535 活跃值： (245) 能力值： ( LV12，RANK：400 ) 在线值：发帖 16 回帖 73 粉丝 9 关注私信	thisIs 9 3 楼可以在应用层自己写一个ExInterlockedCompareExchange64实现8字节原子操作 2013-7-16 16:37 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 4 楼 0环就提升irql 3环的话.将其他线程暂停 2013-7-16 18:35 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 5 楼恩这个我等下来试试,如果能实现,算是最好的了 2013-7-17 08:48 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 6 楼暂停其它线程.........这种方法在有些特点的环境下是不行的,我说的是3环,不考虑0环 2013-7-17 08:49 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼 HOOK是瞬时操作.如果通过汇编修改的话如果那瞬间都会出问题.只能考虑暂停其他操作除非是非常频繁的连续hook. 不过任何商业软件都不会这么干吧 2013-7-17 09:52 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 8 楼 #include "stdafx.h" #include <windows.h> void SafeChange8Bit(PUCHAR puDst,PUCHAR puSrc) { DWORD dwDst1 = (DWORD)puDst; DWORD dwDst2 = (DWORD)((DWORD)puDst+1); DWORD dwSrc1 = (DWORD)puSrc; DWORD dwSrc2 = (DWORD)((DWORD)puSrc+1); _asm { mov edx,dwDst1 mov eax,dwDst2 mov ecx,dwSrc1 mov ebx,dwSrc2 cmpxchg8b puDst ;这里不会成功,不知道原因了,都是同一块同存 } } int main(int argc, char* argv[]) { unsigned char szBuffer[8] = {0}; szBuffer[0] = 1; szBuffer[4] = 1; unsigned char szSrcBuffer[8] = {1,2,3,4,5,6,7,8}; DWORD dwDst1 = (DWORD)szBuffer; DWORD dwDst2 = (DWORD)((DWORD)szBuffer+1); DWORD dwSrc1 = (DWORD)szSrcBuffer; DWORD dwSrc2 = (DWORD)((DWORD)szSrcBuffer+1); _asm { mov edx,dwDst1 mov eax,dwDst2 mov ecx,dwSrc1 mov ebx,dwSrc2 lock cmpxchg8b szBuffer } //SafeChange8Bit(szBuffer,szSrcBuffer); } 这样实现了8字节的原子操作 2013-7-17 11:32 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 9 楼恩,也有一定的道理, 2013-7-17 11:36 0
莫灰灰雪币： 2331 活跃值： (2220) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 10 楼你可以看一下MHOOK的代码，它hook的时候会暂时把其他线程挂起。 2013-7-17 11:55 0
nguyen 雪币： 365 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 20 粉丝 0 关注私信	nguyen 11 楼参考detours 2013-7-17 13:39 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 12 楼暂停其他线程 2013-7-17 19:16 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 13 楼 MHOOK的代码看了一下,考虑的是很详細的,连暂停时线程上下文中EIP的指针停留位置都给予了处理,还是不错的, 2013-7-18 10:18 0
莫灰灰雪币： 2331 活跃值： (2220) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 14 楼是的，还支持x64，普通用户足矣。 2013-7-18 11:55 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 15 楼如果用来挂钩CsrCreateProcess之类的api立马蛋碎…… 2013-7-18 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
spman 雪币： 729 活跃值： (1195) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 73 粉丝 2 关注私信	spman 2 楼 EB FE 2013-7-16 16:02 0
thisIs 雪币： 535 活跃值： (245) 能力值： ( LV12，RANK：400 ) 在线值：发帖 16 回帖 73 粉丝 9 关注私信	thisIs 9 3 楼可以在应用层自己写一个ExInterlockedCompareExchange64实现8字节原子操作 2013-7-16 16:37 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 4 楼 0环就提升irql 3环的话.将其他线程暂停 2013-7-16 18:35 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 5 楼恩这个我等下来试试,如果能实现,算是最好的了 2013-7-17 08:48 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 6 楼暂停其它线程.........这种方法在有些特点的环境下是不行的,我说的是3环,不考虑0环 2013-7-17 08:49 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼 HOOK是瞬时操作.如果通过汇编修改的话如果那瞬间都会出问题.只能考虑暂停其他操作除非是非常频繁的连续hook. 不过任何商业软件都不会这么干吧 2013-7-17 09:52 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 8 楼 #include "stdafx.h" #include <windows.h> void SafeChange8Bit(PUCHAR puDst,PUCHAR puSrc) { DWORD dwDst1 = (DWORD)puDst; DWORD dwDst2 = (DWORD)((DWORD)puDst+1); DWORD dwSrc1 = (DWORD)puSrc; DWORD dwSrc2 = (DWORD)((DWORD)puSrc+1); _asm { mov edx,dwDst1 mov eax,dwDst2 mov ecx,dwSrc1 mov ebx,dwSrc2 cmpxchg8b puDst ;这里不会成功,不知道原因了,都是同一块同存 } } int main(int argc, char* argv[]) { unsigned char szBuffer[8] = {0}; szBuffer[0] = 1; szBuffer[4] = 1; unsigned char szSrcBuffer[8] = {1,2,3,4,5,6,7,8}; DWORD dwDst1 = (DWORD)szBuffer; DWORD dwDst2 = (DWORD)((DWORD)szBuffer+1); DWORD dwSrc1 = (DWORD)szSrcBuffer; DWORD dwSrc2 = (DWORD)((DWORD)szSrcBuffer+1); _asm { mov edx,dwDst1 mov eax,dwDst2 mov ecx,dwSrc1 mov ebx,dwSrc2 lock cmpxchg8b szBuffer } //SafeChange8Bit(szBuffer,szSrcBuffer); } 这样实现了8字节的原子操作 2013-7-17 11:32 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 9 楼恩,也有一定的道理, 2013-7-17 11:36 0
莫灰灰雪币： 2331 活跃值： (2220) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 10 楼你可以看一下MHOOK的代码，它hook的时候会暂时把其他线程挂起。 2013-7-17 11:55 0
nguyen 雪币： 365 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 20 粉丝 0 关注私信	nguyen 11 楼参考detours 2013-7-17 13:39 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 12 楼暂停其他线程 2013-7-17 19:16 0
技术生命雪币： 342 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 13 楼 MHOOK的代码看了一下,考虑的是很详細的,连暂停时线程上下文中EIP的指针停留位置都给予了处理,还是不错的, 2013-7-18 10:18 0
莫灰灰雪币： 2331 活跃值： (2220) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 14 楼是的，还支持x64，普通用户足矣。 2013-7-18 11:55 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 15 楼如果用来挂钩CsrCreateProcess之类的api立马蛋碎…… 2013-7-18 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复