-
-
[原创]Hook 引擎V1.3 --开源
-
发表于: 2015-6-29 17:42
-
很久很久以前注册的, 没记错的话,这是我发的第一个帖子. 
最近很迷茫, 想继续研究的方向有很多,但精力是有限的,徘徊于取舍之间,难以下决心.
所以,我来发个帖, 请各位批评,指正一下,在下的拙作.(在下感激不尽)
工程使用FASM编写, 其中宏,需要修改下.
.break -> 退出 .while/.endw 循环
.breaku -> 退出 .repeat/.until 循环
我简单的介绍下这个引擎的优点
1.不破坏原指令逻辑,和寄存器数值.
2.可实现近似于无痕监听模式.
3.可修改通用寄存器,FPU寄存器,以及获取此处HOOK的来源.
4.操作简单,更无需考虑返回的问题.即使代码出错.
缺点:
1.INLINE 模式下,没有考虑重定位的问题,
2.IAT,EAT 没有实现卸载.
3. 注释太少了
下面是会用到的,3个回调函数.
Enum_IAT_CallBack(DLLName,ImpName,ImpAddr)
Enum_EAT_CallBack(Ord,ExpName,ExpAddr)
SetHook_CallBack(HSMem,FPU,EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX)
具体的, 还是看代码吧. - -!
HookEngine.rar
最近很迷茫, 想继续研究的方向有很多,但精力是有限的,徘徊于取舍之间,难以下决心.
所以,我来发个帖, 请各位批评,指正一下,在下的拙作.(在下感激不尽)
工程使用FASM编写, 其中宏,需要修改下.
.break -> 退出 .while/.endw 循环
.breaku -> 退出 .repeat/.until 循环
我简单的介绍下这个引擎的优点
1.不破坏原指令逻辑,和寄存器数值.
2.可实现近似于无痕监听模式.
3.可修改通用寄存器,FPU寄存器,以及获取此处HOOK的来源.
4.操作简单,更无需考虑返回的问题.即使代码出错.
缺点:
1.INLINE 模式下,没有考虑重定位的问题,
2.IAT,EAT 没有实现卸载.
3. 注释太少了
下面是会用到的,3个回调函数.
Enum_IAT_CallBack(DLLName,ImpName,ImpAddr)
Enum_EAT_CallBack(Ord,ExpName,ExpAddr)
SetHook_CallBack(HSMem,FPU,EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX)
具体的, 还是看代码吧. - -!
HookEngine.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
希望加入X64支持
|
|
|
|
|
|
|
|
|
|
|
|
|
