[原创]HOOK跳转，不用计算字节，mov eax,0x123456 jmp eax-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]HOOK跳转，不用计算字节，mov eax,0x123456 jmp eax

发表于: 2020-4-5 20:48 3809

[原创]HOOK跳转，不用计算字节，mov eax,0x123456 jmp eax

TX杀手

2020-4-5 20:48

3809

今天在逆一款软件，发现这种 hook 做的跳转比较好用，学习了。比如要计算字节的目的地址 - 当前地址+5 这种好用。

76FE6F01 > B8 0FE08F07 mov eax,0x78FE00F ; 函数被HOOK 了

76FE6F06 - FFE0 jmp eax

76FE6F08 0056 57 add byte ptr ds:[esi+0x57],dl

76FE6F0B 33FF xor edi,edi

76FE6F0D 813D 48700077 2>cmp dword ptr ds:[0x77007048],ws2_32.76FE2E2>

76FE6F17 75 7B jnz short ws2_32.76FE6F94

76FE6F19 393D 70700077 cmp dword ptr ds:[0x77007070],edi

76FE6F1F 74 73 je short ws2_32.76FE6F94

76FE6F21 FF35 44700077 push dword ptr ds:[0x77007044]

76FE6F27 FF15 4812FE76 call dword ptr ds:[<&API-MS-Win-Core-Process>; kernel32.TlsGetValue

76FE6F2D 8945 F8 mov dword ptr ss:[ebp-0x8],eax

76FE6F30 3BC7 cmp eax,edi

76FE6F32 74 60 je short ws2_32.76FE6F94

76FE6F34 897D FC mov dword ptr ss:[ebp-0x4],edi

76FE6F37 FF75 08 push dword ptr ss:[ebp+0x8]

76FE6F3A E8 81C0FFFF call ws2_32.76FE2FC0

76FE6F3F 8BF0 mov esi,eax

76FE6F41 3BF7 cmp esi,edi

76FE6F43 0F84 CA830000 je ws2_32.76FEF313

76FE6F49 8B4D F8 mov ecx,dword ptr ss:[ebp-0x8]

76FE6F4C 8B45 10 mov eax,dword ptr ss:[ebp+0x10]

76FE6F4F 53 push ebx

76FE6F50 83C1 08 add ecx,0x8

76FE6F53 8D55 FC lea edx,dword ptr ss:[ebp-0x4]

76FE6F56 52 push edx ; 179309.0054F034

76FE6F57 51 push ecx

76FE6F58 57 push edi

76FE6F59 57 push edi

76FE6F5A FF75 14 push dword ptr ss:[ebp+0x14] ; 179309.004F7EBC

76FE6F5D 8D4D 08 lea ecx,dword ptr ss:[ebp+0x8]

76FE6F60 51 push ecx

76FE6F61 6A 01 push 0x1

76FE6F63 8945 F0 mov dword ptr ss:[ebp-0x10],eax

76FE6F66 8B45 0C mov eax,dword ptr ss:[ebp+0xC]

76FE6F69 8D4D F0 lea ecx,dword ptr ss:[ebp-0x10]

76FE6F6C 51 push ecx

76FE6F6D FF75 08 push dword ptr ss:[ebp+0x8] ; ntdll.76E86C01

76FE6F70 8945 F4 mov dword ptr ss:[ebp-0xC],eax

76FE6F73 8B46 0C mov eax,dword ptr ds:[esi+0xC]

76FE6F76 FF50 64 call dword ptr ds:[eax+0x64]

76FE6F79 8BCE mov ecx,esi

76FE6F7B 8BD8 mov ebx,eax

76FE6F7D E8 1EC0FFFF call ws2_32.76FE2FA0

76FE6F82 3BDF cmp ebx,edi

76FE6F84 5B pop ebx ; ntdll.76E8539C

76FE6F85 0F85 7A830000 jnz ws2_32.76FEF305

76FE6F8B 8B45 08 mov eax,dword ptr ss:[ebp+0x8]

76FE6F8E 5F pop edi ; ntdll.76E8539C

76FE6F8F 5E pop esi ; ntdll.76E8539C

76FE6F90 C9 leave

76FE6F91 C2 1000 retn 0x10

还有一种

push 目的地址

ret

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2020-4-5 20:51 被TX杀手编辑，原因：

收藏・4

免费・1

支持

最新回复 (16)
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 2 楼我是穿越了吗？今天是几几年？香港回归了吗 2020-4-5 21:50 1
Mxixihaha 雪币： 4390 活跃值： (4378) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 3 楼直接JMP 是最安全最稳定的. 像你这个针对不同的调用约定不见得好用. 具体得看调用约定还有 HOOK 位置然后...... 现在是几几年? 2020-4-5 22:11 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 4 楼建议看一下加密与解密关于hook，几种方法都有 2020-4-6 00:07 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 5 楼直接jmp也可以不用计算字节最后于 2020-4-6 00:08 被zx_838741编辑，原因： 2020-4-6 00:07 0
htpidk 雪币： 7379 活跃值： (4086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 279 粉丝 1 关注私信	htpidk 6 楼 LZ不会现在才知道吧 2020-4-6 08:52 0
书生怕怕雪币： 128 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 45 粉丝 0 关注私信	书生怕怕 7 楼人家学习到了分享出来精神是好的吧？都墨迹啥呢 2020-4-6 09:15 0
zhangwenka 雪币： 21 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	zhangwenka 8 楼谢谢楼主分享 2020-4-6 10:25 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 9 楼多用了俩字节，容易出现其他问题 2020-4-6 10:38 0
yimingqpa 雪币： 6552 活跃值： (4346) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 10 楼改page属性, 写drx, 插CC 不比这....多了。 2020-4-6 14:11 0
qiusuper 雪币： 57 活跃值： (2433) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 103 粉丝 8 关注私信	qiusuper 11 楼只合适win api 其他地址hook的话占用了寄存器的数据 2020-4-6 14:47 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 12 楼 seh hook 不更好？ 2020-4-6 22:11 0
TX杀手雪币： 3 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 114 粉丝 17 关注私信	TX杀手 13 楼下咯直接jmp也可以不用计算字节= 怎么弄，一文激起千层浪最后于 2020-4-7 09:47 被TX杀手编辑，原因： 2020-4-7 09:46 0
TX杀手雪币： 3 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 114 粉丝 17 关注私信	TX杀手 14 楼 htpidk LZ不会现在才知道吧[em_2] 分享出来不行吗。。。。 2020-4-7 09:50 0
TX杀手雪币： 3 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 114 粉丝 17 关注私信	TX杀手 15 楼 Mxixihaha 直接JMP 是最安全最稳定的. 像你这个针对不同的调用约定不见得好用. 具体得看调用约定还有 HOOK 位置然后...... 现在是几几年? 刚出狱，现在是2009年，做的事永恒之塔韩服，十二之天野区吸怪秒杀 2020-4-7 09:51 0
noword_forever 雪币： 340 活跃值： (922) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 16 楼多用2个字节，而且还改写了eax的值。 2020-4-7 16:19 0
hyou 雪币： 26 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	hyou 17 楼你这个hook的基值。在哪里计算？ 2020-4-7 19:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

TX杀手

发帖

114

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 2 楼我是穿越了吗？今天是几几年？香港回归了吗 2020-4-5 21:50 1
Mxixihaha 雪币： 4390 活跃值： (4378) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 3 楼直接JMP 是最安全最稳定的. 像你这个针对不同的调用约定不见得好用. 具体得看调用约定还有 HOOK 位置然后...... 现在是几几年? 2020-4-5 22:11 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 4 楼建议看一下加密与解密关于hook，几种方法都有 2020-4-6 00:07 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 5 楼直接jmp也可以不用计算字节最后于 2020-4-6 00:08 被zx_838741编辑，原因： 2020-4-6 00:07 0
htpidk 雪币： 7379 活跃值： (4086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 279 粉丝 1 关注私信	htpidk 6 楼 LZ不会现在才知道吧 2020-4-6 08:52 0
书生怕怕雪币： 128 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 45 粉丝 0 关注私信	书生怕怕 7 楼人家学习到了分享出来精神是好的吧？都墨迹啥呢 2020-4-6 09:15 0
zhangwenka 雪币： 21 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	zhangwenka 8 楼谢谢楼主分享 2020-4-6 10:25 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 9 楼多用了俩字节，容易出现其他问题 2020-4-6 10:38 0
yimingqpa 雪币： 6552 活跃值： (4346) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 10 楼改page属性, 写drx, 插CC 不比这....多了。 2020-4-6 14:11 0
qiusuper 雪币： 57 活跃值： (2433) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 103 粉丝 8 关注私信	qiusuper 11 楼只合适win api 其他地址hook的话占用了寄存器的数据 2020-4-6 14:47 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 12 楼 seh hook 不更好？ 2020-4-6 22:11 0
TX杀手雪币： 3 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 114 粉丝 17 关注私信	TX杀手 13 楼下咯直接jmp也可以不用计算字节= 怎么弄，一文激起千层浪最后于 2020-4-7 09:47 被TX杀手编辑，原因： 2020-4-7 09:46 0
TX杀手雪币： 3 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 114 粉丝 17 关注私信	TX杀手 14 楼 htpidk LZ不会现在才知道吧[em_2] 分享出来不行吗。。。。 2020-4-7 09:50 0
TX杀手雪币： 3 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 114 粉丝 17 关注私信	TX杀手 15 楼 Mxixihaha 直接JMP 是最安全最稳定的. 像你这个针对不同的调用约定不见得好用. 具体得看调用约定还有 HOOK 位置然后...... 现在是几几年? 刚出狱，现在是2009年，做的事永恒之塔韩服，十二之天野区吸怪秒杀 2020-4-7 09:51 0
noword_forever 雪币： 340 活跃值： (922) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 16 楼多用2个字节，而且还改写了eax的值。 2020-4-7 16:19 0
hyou 雪币： 26 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	hyou 17 楼你这个hook的基值。在哪里计算？ 2020-4-7 19:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复