[原创] 重载可执行文件实现高效inline-hook 【源码】-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创] 重载可执行文件实现高效inline-hook 【源码】

发表于: 2017-6-3 15:21 9623

[原创] 重载可执行文件实现高效inline-hook 【源码】

malokch

2017-6-3 15:21

9623

前言

传统的inline-hook

新的hook方案

实现细节

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

InlineHooker.zip （10.40kb，142次下载）

收藏・28

免费・3

支持

打赏 + 10.00雪花

一位没有留下痕迹的看雪读者

打赏次数 1

雪花 + 10.00

一位没有留下痕迹的看雪读者

+10.00

2017/12/20

最新回复 (21)
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 2 楼你这有点复杂啊 2017-6-3 15:42 0
不追浮云的人雪币： 133 活跃值： (233) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 136 粉丝 0 关注私信	不追浮云的人 3 楼学习了 2017-6-3 16:03 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 4 楼先m后看！ 2017-6-3 16:32 0
我是哥布林雪币： 766 活跃值： (2369) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 90 粉丝 1 关注私信	我是哥布林 5 楼学习一下 2017-6-3 17:04 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼这不就是传说中的Page hook+重定向到新模块么 2017-6-3 18:52 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 7 楼火勺你这有点复杂啊这个算简单了 2017-6-3 19:20 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 8 楼 hzqst 这不就是传说中的Page hook+重定向到新模块么正是 2017-6-3 19:20 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 9 楼只有代码片段就申精了？ 2017-6-3 21:44 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 10 楼值得怀疑只有代码片段就申精了？本来想移植到linux再发源码的，现在只有osx的版本。既然你这么说了，那就发吧。其实上面就是核心的代码了，懂行的人，一看就明白，其他的代码不过是工具函数罢了。 2017-6-3 23:37 0
srh 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	srh 11 楼 666大神膜拜呀！ 2017-8-31 10:22 0
xia0 雪币： 1597 活跃值： (719) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 31 粉丝 15 关注私信	xia0 1 12 楼 make编译运行后在下面这个函数这里 void *shm1 = mmap(data_ptr, data_size, PROT_READ \| PROT_WRITE, MAP_SHARED\|MAP_FILE\|MAP_FIXED, fd, 0); 报错`Error: mmap for new_image_ptr: Cannot allocate memory` 请问下大佬这个是什么原因导致的？ 2017-11-9 20:09 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 13 楼 mark 2017-12-1 11:13 0
ixiaohuo 雪币： 1380 活跃值： (116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 36 粉丝 3 关注私信	ixiaohuo 1 14 楼 mark 2017-12-16 12:18 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 15 楼 chdgyue make编译运行后在下面这个函数这里 ``` void *shm1 = mmap(data_ptr, data_size, PROT_READ \| PROT_WRITE, MAP_SHAR ... 可能是基址或size没对齐，不像oom。 2017-12-16 12:46 0
killerfive 雪币： 40 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	killerfive 16 楼 mark 2017-12-19 15:22 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 17 楼已放弃osx，装回windows了 2017-12-20 15:55 0
jmpews 雪币： 120 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 29 粉丝 41 关注私信	jmpews 18 楼 aka: 复制一份 rx segment, 映射 rw segment 至同一物理内存 ? 但是这种对畸形 macho 还要需要处理所有的 rw 属性的 segment 感觉有点复杂哇. 而且内存消耗也是问题. 随便搞下就几个 0x4000 2017-12-20 17:02 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 19 楼 mark 2017-12-20 17:51 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 20 楼 jmpews aka: 复制一份 rx segment, 映射 rw segment 至同一物理内存 ? 但是这种对畸形 macho 还要需要处理所有的 rw 属性的 segment 感觉有点复杂哇. 而且内存消耗 ... 不用处理macho，也不用单独处理segment，整片拷就行了。想省内存的话，rw segment一般不大，hook一个点4k内存。这点内存还是可以接受的。有时候效果比那点内存更重要 2017-12-20 19:46 0
wendax 雪币： 19 活跃值： (128) 能力值： ( LV9，RANK：146 ) 在线值：发帖 12 回帖 99 粉丝 3 关注私信	wendax 21 楼救命啊，朕不是皇上 2018-2-10 20:40 0
LLR_sunshine 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	LLR_sunshine 22 楼你好，请问有Linux版的demo吗？对machO不是特别熟，看了下代码，想确定下，是要把目标函数所在的文件的整个内存段都映射出来？还是只映射目标函数的内存段就可以了？ 2021-8-20 19:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

malokch

发帖

385

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 2 楼你这有点复杂啊 2017-6-3 15:42 0
不追浮云的人雪币： 133 活跃值： (233) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 136 粉丝 0 关注私信	不追浮云的人 3 楼学习了 2017-6-3 16:03 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 4 楼先m后看！ 2017-6-3 16:32 0
我是哥布林雪币： 766 活跃值： (2369) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 90 粉丝 1 关注私信	我是哥布林 5 楼学习一下 2017-6-3 17:04 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼这不就是传说中的Page hook+重定向到新模块么 2017-6-3 18:52 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 7 楼火勺你这有点复杂啊这个算简单了 2017-6-3 19:20 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 8 楼 hzqst 这不就是传说中的Page hook+重定向到新模块么正是 2017-6-3 19:20 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 9 楼只有代码片段就申精了？ 2017-6-3 21:44 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 10 楼值得怀疑只有代码片段就申精了？本来想移植到linux再发源码的，现在只有osx的版本。既然你这么说了，那就发吧。其实上面就是核心的代码了，懂行的人，一看就明白，其他的代码不过是工具函数罢了。 2017-6-3 23:37 0
srh 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	srh 11 楼 666大神膜拜呀！ 2017-8-31 10:22 0
xia0 雪币： 1597 活跃值： (719) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 31 粉丝 15 关注私信	xia0 1 12 楼 make编译运行后在下面这个函数这里 void *shm1 = mmap(data_ptr, data_size, PROT_READ \| PROT_WRITE, MAP_SHARED\|MAP_FILE\|MAP_FIXED, fd, 0); 报错`Error: mmap for new_image_ptr: Cannot allocate memory` 请问下大佬这个是什么原因导致的？ 2017-11-9 20:09 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 13 楼 mark 2017-12-1 11:13 0
ixiaohuo 雪币： 1380 活跃值： (116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 36 粉丝 3 关注私信	ixiaohuo 1 14 楼 mark 2017-12-16 12:18 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 15 楼 chdgyue make编译运行后在下面这个函数这里 ``` void *shm1 = mmap(data_ptr, data_size, PROT_READ \| PROT_WRITE, MAP_SHAR ... 可能是基址或size没对齐，不像oom。 2017-12-16 12:46 0
killerfive 雪币： 40 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	killerfive 16 楼 mark 2017-12-19 15:22 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 17 楼已放弃osx，装回windows了 2017-12-20 15:55 0
jmpews 雪币： 120 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 29 粉丝 41 关注私信	jmpews 18 楼 aka: 复制一份 rx segment, 映射 rw segment 至同一物理内存 ? 但是这种对畸形 macho 还要需要处理所有的 rw 属性的 segment 感觉有点复杂哇. 而且内存消耗也是问题. 随便搞下就几个 0x4000 2017-12-20 17:02 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 19 楼 mark 2017-12-20 17:51 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 20 楼 jmpews aka: 复制一份 rx segment, 映射 rw segment 至同一物理内存 ? 但是这种对畸形 macho 还要需要处理所有的 rw 属性的 segment 感觉有点复杂哇. 而且内存消耗 ... 不用处理macho，也不用单独处理segment，整片拷就行了。想省内存的话，rw segment一般不大，hook一个点4k内存。这点内存还是可以接受的。有时候效果比那点内存更重要 2017-12-20 19:46 0
wendax 雪币： 19 活跃值： (128) 能力值： ( LV9，RANK：146 ) 在线值：发帖 12 回帖 99 粉丝 3 关注私信	wendax 21 楼救命啊，朕不是皇上 2018-2-10 20:40 0
LLR_sunshine 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	LLR_sunshine 22 楼你好，请问有Linux版的demo吗？对machO不是特别熟，看了下代码，想确定下，是要把目标函数所在的文件的整个内存段都映射出来？还是只映射目标函数的内存段就可以了？ 2021-8-20 19:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复