-
-
[分享]MSHookFunction IDA中的sub_xxxx之说
-
发表于: 2015-1-21 15:52
-
唉,说起来这就是一个坑,Cydia Substrate在其文档中也没找到详细说明,最后也只能来看看代码曾半仙最早给的那份substrate-master源码,然后一切就了然于胸了,这个坑很大,很大!!!
现在我们先来看下MSHookFunction怎么Hook IDA中的sub_xxxx函数,然后再来谈谈为啥是这样的。
就以这段代码为例吧,下断点红色选中部分,中的sub_17C94就是我想要Hook的函数,首先确认了下参数个数为2个。
以下给出代码片段截图:
到这里我想很多人有点不理解,为啥需要 | 0x00000001,别急,下面我就借花献佛,慢慢道来也。
既然源头是出现在MSHookFunction上,那们我们就去阅读下这块的代码:
从这2 段代码中可以很明显的看到在SubstrateHookFunction中,看到这么一句
if ((reinterpret_cast<uintptr_t>(symbol) & 0x1) == 0)
也就是说,MSHookFunction在判断Hook函数的时候,是通过在传到进来函数地址的奇偶数来判断是ARM指令的函数,还是Thumb指令的函数。
这个坑好大,我勒个去啊!!!
别急,接下来看这句
reinterpret_cast<void *>(reinterpret_cast<uintptr_t>(symbol) & ~0x1)
判断完后,为了能正确Hook地址,又改回原来的地址了,这下变清楚了吧。
再者,从MSFindSymbol函数中也能清楚的看到value |= 0x00000001这句!!!
好了,这次借花献佛结束了,希望用自己的一点微薄之力,能帮助大家!
现在我们先来看下MSHookFunction怎么Hook IDA中的sub_xxxx函数,然后再来谈谈为啥是这样的。
就以这段代码为例吧,下断点红色选中部分,中的sub_17C94就是我想要Hook的函数,首先确认了下参数个数为2个。
以下给出代码片段截图:
到这里我想很多人有点不理解,为啥需要 | 0x00000001,别急,下面我就借花献佛,慢慢道来也。
既然源头是出现在MSHookFunction上,那们我们就去阅读下这块的代码:
从这2 段代码中可以很明显的看到在SubstrateHookFunction中,看到这么一句
if ((reinterpret_cast<uintptr_t>(symbol) & 0x1) == 0)
也就是说,MSHookFunction在判断Hook函数的时候,是通过在传到进来函数地址的奇偶数来判断是ARM指令的函数,还是Thumb指令的函数。
这个坑好大,我勒个去啊!!!
别急,接下来看这句
reinterpret_cast<void *>(reinterpret_cast<uintptr_t>(symbol) & ~0x1)
判断完后,为了能正确Hook地址,又改回原来的地址了,这下变清楚了吧。
再者,从MSFindSymbol函数中也能清楚的看到value |= 0x00000001这句!!!
好了,这次借花献佛结束了,希望用自己的一点微薄之力,能帮助大家!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
