[求助]X64 HOOK ntdll的memcpy函数-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼有函数原型，x64汇编Inline Hook无压力 2015-12-3 23:15 0
BugIxt 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	BugIxt 3 楼好像有挺多64位hook库，论坛搜一下。 2015-12-4 06:36 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 4 楼 mhook ，测试无问题，如果hook过程简单可以自己使用当前流行的反汇编库做一个简单hook流程。 2015-12-4 09:52 0
yeyeshun 雪币： 488 活跃值： (3149) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 398 粉丝 14 关注私信	yeyeshun 2 5 楼被破坏的代码里有jb，恢复代码的时候要注意 2015-12-4 14:13 0
wr960204 雪币： 126 活跃值： (169) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 76 粉丝 0 关注私信	wr960204 6 楼因为有jb,你不如HOOK了,就不再调用原函数. 反正memcpy也很简单,自己实现一个就好了 2016-1-2 12:18 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 7 楼这个非常简单啊！你可以看看我的一个代码就知道了 #include "stdafx.h" #include <Windows.h> #include "../BPHookFunction/BPHookFunction.h" typedef VOID (PRtlCopyMemory)( _Out_ VOID UNALIGNED Destination, _In_ const VOID UNALIGNED Source, _In_ SIZE_T Length ); VOID MyRtlCopyMemory( _Out_ VOID UNALIGNED Destination, _In_ const VOID UNALIGNED Source, _In_ SIZE_T Length ); PRtlCopyMemory NtDllMemcpy = 0,NtDllMemcpy2=0; ULONGLONG Num = 0; CRITICAL_SECTION g_cs; int _tmain(int argc, _TCHAR argv[]) { ULONGLONG m_Num = 0; WCHAR Buffer[_MAX_PATH]={0}; WCHAR Buffer2[_MAX_PATH]={0}; wcscpy(Buffer,L"Test"); ::InitializeCriticalSection(&g_cs); EnterCriticalSection(&g_cs); Num = 0; LeaveCriticalSection(&g_cs); NtDllMemcpy= (PRtlCopyMemory)GetProcAddress(::GetDllModuleHandleW(L"Ntdll.dll"),"memcpy"); NtDllMemcpy2=NtDllMemcpy; SetInlineHook((PVOID)&NtDllMemcpy,MyRtlCopyMemory); EnterCriticalSection(&g_cs); Num = 1; LeaveCriticalSection(&g_cs); NtDllMemcpy2(&Buffer2,&Buffer,sizeof(Buffer2)); return 0; } VOID MyRtlCopyMemory( _Out_ VOID UNALIGNED Destination, _In_ const VOID UNALIGNED *Source, _In_ SIZE_T Length ) { ULONGLONG m_Num=0; EnterCriticalSection(&g_cs); m_Num=Num; LeaveCriticalSection(&g_cs); if(m_Num!=0) NtDllMemcpy(Destination,Source,Length); } 这个程序需要的库和头文件我上传在了我自己的一个帖子这里了，地址http://bbs.pediy.com/showthread.php?t=206885 2016-1-3 00:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼有函数原型，x64汇编Inline Hook无压力 2015-12-3 23:15 0
BugIxt 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	BugIxt 3 楼好像有挺多64位hook库，论坛搜一下。 2015-12-4 06:36 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 4 楼 mhook ，测试无问题，如果hook过程简单可以自己使用当前流行的反汇编库做一个简单hook流程。 2015-12-4 09:52 0
yeyeshun 雪币： 488 活跃值： (3149) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 398 粉丝 14 关注私信	yeyeshun 2 5 楼被破坏的代码里有jb，恢复代码的时候要注意 2015-12-4 14:13 0
wr960204 雪币： 126 活跃值： (169) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 76 粉丝 0 关注私信	wr960204 6 楼因为有jb,你不如HOOK了,就不再调用原函数. 反正memcpy也很简单,自己实现一个就好了 2016-1-2 12:18 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 7 楼这个非常简单啊！你可以看看我的一个代码就知道了 #include "stdafx.h" #include <Windows.h> #include "../BPHookFunction/BPHookFunction.h" typedef VOID (PRtlCopyMemory)( _Out_ VOID UNALIGNED Destination, _In_ const VOID UNALIGNED Source, _In_ SIZE_T Length ); VOID MyRtlCopyMemory( _Out_ VOID UNALIGNED Destination, _In_ const VOID UNALIGNED Source, _In_ SIZE_T Length ); PRtlCopyMemory NtDllMemcpy = 0,NtDllMemcpy2=0; ULONGLONG Num = 0; CRITICAL_SECTION g_cs; int _tmain(int argc, _TCHAR argv[]) { ULONGLONG m_Num = 0; WCHAR Buffer[_MAX_PATH]={0}; WCHAR Buffer2[_MAX_PATH]={0}; wcscpy(Buffer,L"Test"); ::InitializeCriticalSection(&g_cs); EnterCriticalSection(&g_cs); Num = 0; LeaveCriticalSection(&g_cs); NtDllMemcpy= (PRtlCopyMemory)GetProcAddress(::GetDllModuleHandleW(L"Ntdll.dll"),"memcpy"); NtDllMemcpy2=NtDllMemcpy; SetInlineHook((PVOID)&NtDllMemcpy,MyRtlCopyMemory); EnterCriticalSection(&g_cs); Num = 1; LeaveCriticalSection(&g_cs); NtDllMemcpy2(&Buffer2,&Buffer,sizeof(Buffer2)); return 0; } VOID MyRtlCopyMemory( _Out_ VOID UNALIGNED Destination, _In_ const VOID UNALIGNED *Source, _In_ SIZE_T Length ) { ULONGLONG m_Num=0; EnterCriticalSection(&g_cs); m_Num=Num; LeaveCriticalSection(&g_cs); if(m_Num!=0) NtDllMemcpy(Destination,Source,Length); } 这个程序需要的库和头文件我上传在了我自己的一个帖子这里了，地址http://bbs.pediy.com/showthread.php?t=206885 2016-1-3 00:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复