关于lnline hook的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 2 楼没必要自己去弄个汇编引擎分析。detours就可以做到，稍微修改一下就可以不依赖DLL HOOK了。具体可以百度。。如果你是想WriteProcessMemory 写别的进程来HOOK 那还是没太多好办法。 2013-9-12 15:40 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 3 楼表示没看懂什么意思统一5个字节不可以么不管是不是完整的一条指令，反正那5个字节要给他保存起来并且还原回来的吧 2013-9-12 16:05 0
鸡蛋面雪币： 5 活跃值： (421) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 4 楼当然不行，这样会把一些指令截断，会出现不可预知的后果。。。。比如跳转处指令的机器码是AABBCCDDEEFF,共六个字节，如果只取五个字节的话，那么汇编代码就会变成： 00444444 E9 XXXXXX jmp xxxxx 00444449 FF ?? 执行完自定义代码跳转回444449时，就会执行机器码为FF的这条指令，显然是不对的。 2013-9-12 16:41 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 5 楼转回来的时候就把那五个字节补回来，然后从44444执行不可以么，没必要一定要从444449执行吧 2013-9-12 19:51 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 6 楼你这个多线程明显是会异常的。我一直用 xde32 反汇编引擎的也还在别人的hook代码里面看到过一个很简短的汇编写的反汇编引擎过不过至于E8、E9开头的代码，保存后必须修正地址的附以前写的一个inline hook工程上传的附件： CRT_jmp.rar （64.63kb，21次下载） 2013-9-12 20:20 0
wowking 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 17 粉丝 0 关注私信	wowking 7 楼可以选择性地在合适的位置跳转，例如就是选择jmp这个命令的位置，也不用怎么反汇编，知道jmp命令是什么就行了，然后特征搜索 2013-9-12 22:12 0
灵犀雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	灵犀 8 楼学习了一下代码，非常感谢，对于反汇编函数xde_disasm确实看不懂，感觉这个表xde_table很重要，是怎么构造的？反汇编基本原理也明白一些，就是按照intel指令格式进行解析，但是能不能详细指点指点呢，或者详细注释一下这个函数，或者给点参考资料。谢过谢过 2013-10-29 10:53 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 9 楼请参考 http://bbs.pediy.com/showthread.php?t=154721 附件中的代码，是咋处理的. 2013-10-29 11:24 0
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 10 楼学习一下。！！ 2013-11-25 16:00 0
阳光下的雪花雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	阳光下的雪花 11 楼学习学习~ 2013-11-26 18:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 2 楼没必要自己去弄个汇编引擎分析。detours就可以做到，稍微修改一下就可以不依赖DLL HOOK了。具体可以百度。。如果你是想WriteProcessMemory 写别的进程来HOOK 那还是没太多好办法。 2013-9-12 15:40 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 3 楼表示没看懂什么意思统一5个字节不可以么不管是不是完整的一条指令，反正那5个字节要给他保存起来并且还原回来的吧 2013-9-12 16:05 0
鸡蛋面雪币： 5 活跃值： (421) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 4 楼当然不行，这样会把一些指令截断，会出现不可预知的后果。。。。比如跳转处指令的机器码是AABBCCDDEEFF,共六个字节，如果只取五个字节的话，那么汇编代码就会变成： 00444444 E9 XXXXXX jmp xxxxx 00444449 FF ?? 执行完自定义代码跳转回444449时，就会执行机器码为FF的这条指令，显然是不对的。 2013-9-12 16:41 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 5 楼转回来的时候就把那五个字节补回来，然后从44444执行不可以么，没必要一定要从444449执行吧 2013-9-12 19:51 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 6 楼你这个多线程明显是会异常的。我一直用 xde32 反汇编引擎的也还在别人的hook代码里面看到过一个很简短的汇编写的反汇编引擎过不过至于E8、E9开头的代码，保存后必须修正地址的附以前写的一个inline hook工程上传的附件： CRT_jmp.rar （64.63kb，21次下载） 2013-9-12 20:20 0
wowking 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 17 粉丝 0 关注私信	wowking 7 楼可以选择性地在合适的位置跳转，例如就是选择jmp这个命令的位置，也不用怎么反汇编，知道jmp命令是什么就行了，然后特征搜索 2013-9-12 22:12 0
灵犀雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	灵犀 8 楼学习了一下代码，非常感谢，对于反汇编函数xde_disasm确实看不懂，感觉这个表xde_table很重要，是怎么构造的？反汇编基本原理也明白一些，就是按照intel指令格式进行解析，但是能不能详细指点指点呢，或者详细注释一下这个函数，或者给点参考资料。谢过谢过 2013-10-29 10:53 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 9 楼请参考 http://bbs.pediy.com/showthread.php?t=154721 附件中的代码，是咋处理的. 2013-10-29 11:24 0
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 10 楼学习一下。！！ 2013-11-25 16:00 0
阳光下的雪花雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	阳光下的雪花 11 楼学习学习~ 2013-11-26 18:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复