[求助]函数头如何用4字节HOOK-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
lwykj 雪币： 1080 活跃值： (1283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 2 楼在hook 函数附近找个空的地方 jmp过去再 jmp到你的模块函数! 2016-8-24 14:26 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 3 楼短跳(2 bytes)+二级长跳 2016-8-24 14:27 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 4 楼 EB xx 不错 2016-8-24 17:12 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 5 楼想hook, 异常处理可以好好利用的，别浪费技术资源！不过R0下的还沒有实现！ 2016-8-24 18:31 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 6 楼异常处理效率不好 2016-8-24 19:07 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 7 楼谢谢各位的解答不过还是没有到点子上啊异常不可能直接忽略二段跳就不止4字节了可能是我没表达清楚。想问的是4字节内在函数头实现函数流程跳转有什么偏门？或需要某个寄存器满足某些条件才能实现？求解答 2016-8-26 18:09 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 8 楼是不是这样呢？第一图是原来的函数下面是HOOK后的上传的附件： 1.png （25.22kb，12次下载） 2.png （32.69kb，7次下载） 3.png （18.80kb，6次下载） 2016-8-26 20:25 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 9 楼没感觉效率问题，只有处理得好不好的问题！ 2016-8-26 20:52 0
笑倾天下雪币： 120 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	笑倾天下 10 楼我感觉楼主可以尝试在API头部写INT3断点（1字节）。至于4字节HOOK的话，jmp的短跳占两个字节，长跳5字节，CALL也占5字节。。。 2016-8-26 23:27 0
yeyeshun 雪币： 775 活跃值： (3420) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 11 楼 8楼分析很到位。异常处理的hook确实存在效率问题，同样的代码，jmp基本无延迟，异常接管明显卡。 2016-9-6 19:13 0
封心aa 雪币：活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	封心aa 12 楼我也有同样问题。楼主怎么解决的 2017-4-26 19:40 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 13 楼比较赞同 11楼的。 2017-4-27 15:58 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 14 楼封心aa 我也有同样问题。楼主怎么解决的找了一些汇编内容没发现有什么好方法，一定要用的话只能如2 3 4楼所说采用二段跳。也就是还需要在函数头修改处前后128字节内找一小块内存来填充二次跳转代码。 2017-5-5 21:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
lwykj 雪币： 1080 活跃值： (1283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 2 楼在hook 函数附近找个空的地方 jmp过去再 jmp到你的模块函数! 2016-8-24 14:26 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 3 楼短跳(2 bytes)+二级长跳 2016-8-24 14:27 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 4 楼 EB xx 不错 2016-8-24 17:12 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 5 楼想hook, 异常处理可以好好利用的，别浪费技术资源！不过R0下的还沒有实现！ 2016-8-24 18:31 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 6 楼异常处理效率不好 2016-8-24 19:07 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 7 楼谢谢各位的解答不过还是没有到点子上啊异常不可能直接忽略二段跳就不止4字节了可能是我没表达清楚。想问的是4字节内在函数头实现函数流程跳转有什么偏门？或需要某个寄存器满足某些条件才能实现？求解答 2016-8-26 18:09 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 8 楼是不是这样呢？第一图是原来的函数下面是HOOK后的上传的附件： 1.png （25.22kb，12次下载） 2.png （32.69kb，7次下载） 3.png （18.80kb，6次下载） 2016-8-26 20:25 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 9 楼没感觉效率问题，只有处理得好不好的问题！ 2016-8-26 20:52 0
笑倾天下雪币： 120 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	笑倾天下 10 楼我感觉楼主可以尝试在API头部写INT3断点（1字节）。至于4字节HOOK的话，jmp的短跳占两个字节，长跳5字节，CALL也占5字节。。。 2016-8-26 23:27 0
yeyeshun 雪币： 775 活跃值： (3420) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 11 楼 8楼分析很到位。异常处理的hook确实存在效率问题，同样的代码，jmp基本无延迟，异常接管明显卡。 2016-9-6 19:13 0
封心aa 雪币：活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	封心aa 12 楼我也有同样问题。楼主怎么解决的 2017-4-26 19:40 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 13 楼比较赞同 11楼的。 2017-4-27 15:58 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 14 楼封心aa 我也有同样问题。楼主怎么解决的找了一些汇编内容没发现有什么好方法，一定要用的话只能如2 3 4楼所说采用二段跳。也就是还需要在函数头修改处前后128字节内找一小块内存来填充二次跳转代码。 2017-5-5 21:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复