[求助][求助]WIN64上一种只需修改函数6个字节的INLINE HOOK方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助][求助]WIN64上一种只需修改函数6个字节的INLINE HOOK方法

发表于: 2016-8-24 10:49 11119

[求助][求助]WIN64上一种只需修改函数6个字节的INLINE HOOK方法

林振华

2016-8-24 10:49

11119

http://bbs.pediy.com/showpost.php?postid=292659
这是Tesla.Angela的64位INLINE HOOK方法
论坛无法注册回复
知道思路的请讲解下谢谢

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

555555.png （108.71kb，78次下载）

收藏・1

免费・0

支持

最新回复 (67) 1 2 3 ▶
lingganai 雪币： 333 活跃值： (161) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	lingganai 2 楼不好意思看错咯 2016-8-24 12:45 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 3 楼估计是JMP[-8] 2016-8-24 14:24 0
林振华雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	林振华 4 楼 JMP QWORD PTR [RIP-8] 我看回复好像是这个但是RIP这个怎么处理不晓得 RIP是指令寄存器难道存放地址? 2016-8-24 16:56 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼 [QUOTE=林振华;1442300]JMP QWORD PTR [RIP-8] 我看回复好像是这个但是RIP这个怎么处理不晓得 RIP是指令寄存器难道存放地址?[/QUOTE] 就是往回跳8个字节的意思吧 2016-8-24 17:40 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 6 楼别去注册了，站长就是骗子骗钱的本帖隐藏的内容先把你要跳转到的绝对地址写到『函数头-8』的位置，然后把机器码"\xFF\x25\xF2\xFF\xFF\xFF"写入『函数头』即可。当然可能还需要填充一些NOP，防止指令截断，但一般来说都会少于14字节。 2016-8-24 18:36 0
sealmoon 雪币： 23 活跃值： (1376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	sealmoon 7 楼这样不就只能在头部hook 2016-8-24 19:50 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 8 楼讲真 x64可以2字节实现inline hook 2016-8-24 20:55 0
林振华雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	林振华 9 楼这个...你能一帖个代码出来嘛小白表示有点压力啊 2016-8-24 21:04 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 10 楼看到黑防的都知道Tesla.Angela ,怎么说呢接触内核并坚持下来有一部分是因为Tesla.Angela ,本人觉得Tesla.Angela 还是很好交流的从我认识他以来没听说过他是骗子 ,黑人请拿出证据 2016-8-24 21:05 0
林振华雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	林振华 11 楼吃惊!!!.......2字节inline hook怎么实现的 2016-8-24 21:05 0
魂球先生雪币： 207 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	魂球先生 12 楼 @iceway 我嘴里吃着辣条说辣条真特么毒害,你看着TA的教程说TA是骗子 2016-8-24 21:37 0
晴雨F 雪币： 90 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 76 粉丝 1 关注私信	晴雨F 13 楼无缘无故污蔑别人有意思吗你？ 2016-8-24 21:38 0
IceHawk 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	IceHawk 14 楼 *********** 2016-8-24 21:40 0
技术宅的结界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	技术宅的结界 15 楼你是想说嗷嗷叫的老马也是骗子么？我觉得能证实TA和老马不是骗子的人的数量都超过你的个人总资产了。 2016-8-24 21:40 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 16 楼 TA还不错啊。黑防放了不少代码 2016-8-24 21:41 0
xinxinqing 雪币： 1234 活跃值： (297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 17 楼这个站长人挺好的，我接触过一点点，不至于骗人吧，怎么骗？ 2016-8-24 21:42 0
asdfsadff 雪币： 11 活跃值： (94) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	asdfsadff 18 楼 ************ 2016-8-24 21:44 0
tangptr 雪币： 35 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	tangptr 19 楼 ********** 2016-8-24 21:45 0
tangptr 雪币： 35 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	tangptr 20 楼方法很简单，比如a是一个函数的指针，那么在a-8的位置写进你的伪函数指针，a的位置写一个字节数组 {0xFF,0x25,0xFF,0xFF,0xFF,0xF2} 2016-8-24 21:47 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 21 楼有证据吗 2016-8-24 21:48 0
tangptr 雪币： 35 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	tangptr 22 楼写上中断指令，然后挂钩废弃中断表的函数就行。比如第255个中断函数就是废弃函数，那么挂钩之，然后在inline的地方写上CD FF就行 2016-8-24 21:49 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 23 楼。... 2016-8-24 21:50 0
技术宅的结界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	技术宅的结界 24 楼改int3的话，一个字节就能hook了 2016-8-24 21:50 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 25 楼哈哈哈说别人是骗子 2016-8-24 21:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

林振华

发帖

回帖

RANK

关注

私信

他的文章

[求助][求助]WIN64上一种只需修改函数6个字节的INLINE HOOK方法 11120

关于我们

联系我们

企业服务

看雪公众号

最新回复 (67) 1 2 3 ▶
lingganai 雪币： 333 活跃值： (161) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	lingganai 2 楼不好意思看错咯 2016-8-24 12:45 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 3 楼估计是JMP[-8] 2016-8-24 14:24 0
林振华雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	林振华 4 楼 JMP QWORD PTR [RIP-8] 我看回复好像是这个但是RIP这个怎么处理不晓得 RIP是指令寄存器难道存放地址? 2016-8-24 16:56 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼 [QUOTE=林振华;1442300]JMP QWORD PTR [RIP-8] 我看回复好像是这个但是RIP这个怎么处理不晓得 RIP是指令寄存器难道存放地址?[/QUOTE] 就是往回跳8个字节的意思吧 2016-8-24 17:40 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 6 楼别去注册了，站长就是骗子骗钱的本帖隐藏的内容先把你要跳转到的绝对地址写到『函数头-8』的位置，然后把机器码"\xFF\x25\xF2\xFF\xFF\xFF"写入『函数头』即可。当然可能还需要填充一些NOP，防止指令截断，但一般来说都会少于14字节。 2016-8-24 18:36 0
sealmoon 雪币： 23 活跃值： (1376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	sealmoon 7 楼这样不就只能在头部hook 2016-8-24 19:50 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 8 楼讲真 x64可以2字节实现inline hook 2016-8-24 20:55 0
林振华雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	林振华 9 楼这个...你能一帖个代码出来嘛小白表示有点压力啊 2016-8-24 21:04 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 10 楼看到黑防的都知道Tesla.Angela ,怎么说呢接触内核并坚持下来有一部分是因为Tesla.Angela ,本人觉得Tesla.Angela 还是很好交流的从我认识他以来没听说过他是骗子 ,黑人请拿出证据 2016-8-24 21:05 0
林振华雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	林振华 11 楼吃惊!!!.......2字节inline hook怎么实现的 2016-8-24 21:05 0
魂球先生雪币： 207 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	魂球先生 12 楼 @iceway 我嘴里吃着辣条说辣条真特么毒害,你看着TA的教程说TA是骗子 2016-8-24 21:37 0
晴雨F 雪币： 90 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 76 粉丝 1 关注私信	晴雨F 13 楼无缘无故污蔑别人有意思吗你？ 2016-8-24 21:38 0
IceHawk 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	IceHawk 14 楼 *********** 2016-8-24 21:40 0
技术宅的结界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	技术宅的结界 15 楼你是想说嗷嗷叫的老马也是骗子么？我觉得能证实TA和老马不是骗子的人的数量都超过你的个人总资产了。 2016-8-24 21:40 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 16 楼 TA还不错啊。黑防放了不少代码 2016-8-24 21:41 0
xinxinqing 雪币： 1234 活跃值： (297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 17 楼这个站长人挺好的，我接触过一点点，不至于骗人吧，怎么骗？ 2016-8-24 21:42 0
asdfsadff 雪币： 11 活跃值： (94) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	asdfsadff 18 楼 ************ 2016-8-24 21:44 0
tangptr 雪币： 35 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	tangptr 19 楼 ********** 2016-8-24 21:45 0
tangptr 雪币： 35 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	tangptr 20 楼方法很简单，比如a是一个函数的指针，那么在a-8的位置写进你的伪函数指针，a的位置写一个字节数组 {0xFF,0x25,0xFF,0xFF,0xFF,0xF2} 2016-8-24 21:47 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 21 楼有证据吗 2016-8-24 21:48 0
tangptr 雪币： 35 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	tangptr 22 楼写上中断指令，然后挂钩废弃中断表的函数就行。比如第255个中断函数就是废弃函数，那么挂钩之，然后在inline的地方写上CD FF就行 2016-8-24 21:49 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 23 楼。... 2016-8-24 21:50 0
技术宅的结界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	技术宅的结界 24 楼改int3的话，一个字节就能hook了 2016-8-24 21:50 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 25 楼哈哈哈说别人是骗子 2016-8-24 21:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复