[原创]x64 ring3 inline-hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]x64 ring3 inline-hook

发表于: 2014-1-3 15:17 19297

[原创]x64 ring3 inline-hook

瀚海云烟

2014-1-3 15:17

19297

标题: 【原创】x64 ring3 inline-hook
作者: 瀚海云烟
时间: 2014-01-03,15:40:37
链接: http://bbs.pediy.com/showthread.php?t=183367

几个星期前，都去年了，闲着也闲着，将32位的inline-hook修改成了64位的inline-hook
   x64下的inline-hook其实跟x86下的inline-hook没啥区别，都是拷贝前几个字节，然后塞入跳转指令，最后再调用原来的函数返回。
   原理一堆一堆的，看雪上各位大牛都说的很详细了，我就不细说了，我这里用的就是mov rax,xxxx / jmp  rax 的方法跳转，碰到E8、E9、7X开头的指令就不进行hook。
// 指令机器码
BYTE TMP[COPY_CODE_LEN] = {
      0x48, 0xB8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,  // mov rax, 0
      0xFF, 0xE0 // jmp rax
};
   具体的看代码吧。
演示代码，注入notepad.exe 中 hook CreateFile结果截图如下：

[课程]Android-CTF解题方法汇总！

上传的附件：

Unnamed QQ Screenshot20140103151351.jpg （146.69kb，104次下载）
Unnamed QQ Screenshot20140103151433.jpg （101.97kb，125次下载）
InlineHook_x64.rar （22.61kb，608次下载）

收藏・44

免费・6

支持

最新回复 (17)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 2 楼下载留名~~mark~ 2014-1-3 15:51 0
alldoisbug 雪币： 45 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	alldoisbug 3 楼下帖留名看看先 2014-1-3 16:02 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 4 楼 mark. 老爷留名。 2014-1-3 16:02 0
wuxiwudi 雪币： 927 活跃值： (1750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 5 楼 1024楼主好人 2014-1-3 16:05 0
樊辉雪币： 38 活跃值： (1282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 155 粉丝 0 关注私信	樊辉 6 楼 mark 2014-1-3 18:01 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 7 楼下载留名~~mark~ 2014-1-3 20:03 0
linhef 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	linhef 8 楼新人，学习了 2014-1-3 20:42 0
pxhb 雪币： 6366 活跃值： (4336) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 19 关注私信	pxhb 2 9 楼好东西，刚好要找这方面的资料 2014-1-5 15:03 0
pxhb 雪币： 6366 活跃值： (4336) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 19 关注私信	pxhb 2 10 楼再次来致谢 2014-1-5 19:18 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 11 楼 Complagte 是啥意思？》 2014-1-6 09:18 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 12 楼下载留名，marks 2014-1-8 20:04 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 13 楼 mark一下。。。 2014-3-5 14:32 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 14 楼好东西...... 2014-3-5 14:37 0
syskeylbz 雪币： 39 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	syskeylbz 15 楼下载留名 2014-3-5 14:50 0
hacklang 雪币： 492 活跃值： (41) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 94 粉丝 0 关注私信	hacklang 1 16 楼请教楼主,可以实现任意位置inline hook么?看了好几款x64 上的inline hook都是不能有分支指令,检测到就不hook了.. 2014-6-10 17:14 0
coody 雪币： 409 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 1 关注私信	coody 17 楼留个名？ 2014-6-11 15:46 0
booyd 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 26 粉丝 0 关注私信	booyd 18 楼正需要，楼主好人 2014-7-4 03:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

瀚海云烟

发帖

531

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 2 楼下载留名~~mark~ 2014-1-3 15:51 0
alldoisbug 雪币： 45 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	alldoisbug 3 楼下帖留名看看先 2014-1-3 16:02 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 4 楼 mark. 老爷留名。 2014-1-3 16:02 0
wuxiwudi 雪币： 927 活跃值： (1750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 5 楼 1024楼主好人 2014-1-3 16:05 0
樊辉雪币： 38 活跃值： (1282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 155 粉丝 0 关注私信	樊辉 6 楼 mark 2014-1-3 18:01 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 7 楼下载留名~~mark~ 2014-1-3 20:03 0
linhef 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	linhef 8 楼新人，学习了 2014-1-3 20:42 0
pxhb 雪币： 6366 活跃值： (4336) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 19 关注私信	pxhb 2 9 楼好东西，刚好要找这方面的资料 2014-1-5 15:03 0
pxhb 雪币： 6366 活跃值： (4336) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 19 关注私信	pxhb 2 10 楼再次来致谢 2014-1-5 19:18 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 11 楼 Complagte 是啥意思？》 2014-1-6 09:18 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 12 楼下载留名，marks 2014-1-8 20:04 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 13 楼 mark一下。。。 2014-3-5 14:32 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 14 楼好东西...... 2014-3-5 14:37 0
syskeylbz 雪币： 39 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	syskeylbz 15 楼下载留名 2014-3-5 14:50 0
hacklang 雪币： 492 活跃值： (41) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 94 粉丝 0 关注私信	hacklang 1 16 楼请教楼主,可以实现任意位置inline hook么?看了好几款x64 上的inline hook都是不能有分支指令,检测到就不hook了.. 2014-6-10 17:14 0
coody 雪币： 409 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 1 关注私信	coody 17 楼留个名？ 2014-6-11 15:46 0
booyd 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 26 粉丝 0 关注私信	booyd 18 楼正需要，楼主好人 2014-7-4 03:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复