首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]怎么HOOK这种64位函数?
发表于: 2018-11-16 23:06 4262

[求助]怎么HOOK这种64位函数?

wem 活跃值
2018-11-16 23:06
4262
一开始就是这种:

fffff800`043c1184 fff3            push    rbx
fffff800`043c1186 4883ec30        sub     rsp,30h
fffff800`043c118a 488bd9          mov     rbx,rcx
fffff800`043c118d 488bd1          mov     rdx,rcx
fffff800`043c1190 488d4c2420      lea     rcx,[rsp+20h]
....
fffff800`043c11cf 4883c430        add     rsp,30h
fffff800`043c11d3 5b              pop     rbx
fffff800`043c11d4 c3              ret

这种怎么HOOK?硬编码就可以。
谢谢。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (7)
PYGame
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
与32的有何区别?
2018-11-17 17:08
0
jgs
雪    币: 8635
活跃值: (4825)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
jgs
3
楼主讲讲硬编码怎么hook吧
2018-11-17 18:27
0
linziqingl
雪    币: 267
活跃值: (438)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
私信
4
既然都可以看到64位汇编与机器码对应了,你不是可以看看其他的jmp 或call 指令对应的机器码,学习一下他们的格式植入对应的机器码不就行了!如果没有X86基础最好不要跳课!
最后于 2018-11-17 19:10 被linziqingl编辑 ,原因:
2018-11-17 19:09
2
万剑归宗
雪    币: 914
活跃值: (2288)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
私信
5
linziqingl 既然都可以看到64位汇编与机器码对应了,你不是可以看看其他的jmp 或call 指令对应的机器码,学习一下他们的格式植入对应的机器码不就行了!如果没有X86基础最好 ...
+1
2018-11-18 22:25
0
youxiaxy
雪    币: 2056
活跃值: (1471)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
不会的话,mhook 一键,省心。
2018-11-19 09:51
0
zhangtaopy
雪    币: 125
活跃值: (161)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
第一二条指令挪走改个jmp不就完事了,又没有需要重定位的指令
2018-11-20 10:16
0
恋上下班
雪    币: 116
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
在ntoskrnl,exe的空白处加一段你自己写的反汇编码,因为同在一个4G内核空间,所以可以实现5字节跳转
2018-12-5 06:33
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//