[原创]Hook技术：Ring3层下的Inline Hook详解【附源码】-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (36) ◀ 1 2
雲瑞雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	雲瑞 26 楼如何全局HOOK呢。。所有进程message都替换掉 2020-5-19 09:47 0
走在北风里雪币： 1093 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	走在北风里 27 楼雲瑞如何全局HOOK呢。。所有进程message都替换掉 pde,pte读写位置1，干掉写copy,然后正常hook,hook的代码丢到共享内存里就可以了 2020-5-19 11:35 0
苏啊树雪币： 5317 活跃值： (3318) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 62 粉丝 33 关注私信	苏啊树 5 28 楼如果在你_OldCode数组后面，直接加上跳回到__MessageBoxAddress+5的地址处的机器码，并把_OldCode改为可执行，执行完你想要的操作再跳到_OldCode不就可以了，省得来来回回Hook，浪费性能或则漏勾 2020-5-21 21:36 0
hhkqqs 雪币： 12352 活跃值： (5874) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 29 楼苏啊树如果在你_OldCode数组后面，直接加上跳回到__MessageBoxAddress+5的地址处的机器码，并把_OldCode改为可执行，执行完你想要的操作再跳到_OldCode不就可以了，省得来来 ... 有弊端，如果函数头长这样： 55 push ebp 8B EC mov ebp, esp B8 78 56 34 12 mov eax, 12345678h 替换5字节之后，Addr+5处是截断的指令56 34 12，肯定不能直接jmp过去 2020-6-27 11:40 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 30 楼嗯，第一行如果是有用代码，这样会crash。如果遇到实例crash可以具体分析，借助反汇编再增加健壮性 2020-6-28 17:06 0
阿腊婆雪币： 202 活跃值： (228) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 10 粉丝 7 关注私信	阿腊婆 31 楼谢谢 2020-7-3 20:50 0
八零年的刘某雪币： 20 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	八零年的刘某 32 楼那个目标地址-原地址-5 是怎么回事，我弄了好多次地址都计算的不对。 2020-12-20 01:13 0
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 38 关注私信	低调putchar 1 33 楼八零年的刘某那个目标地址-原地址-5 是怎么回事，我弄了好多次地址都计算的不对。 jmp near xxx; 近跳指令长度为5字节操作码0xe9: 后面的相对偏移=目标地址-(近跳指令地址+5)=目标地址--近跳指令地址-5 2020-12-20 09:36 0
superlover 雪币： 10236 活跃值： (4411) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 1 关注私信	superlover 34 楼可以参考detours，来来回回hook确实不好 2020-12-20 10:12 0
mb_D34purZj 雪币： 3035 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 39 粉丝 2 关注私信	mb_D34purZj 35 楼学习 2020-12-20 13:10 0
八零年的刘某雪币： 20 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	八零年的刘某 36 楼谢谢已经会了。 2020-12-22 00:15 0
aresmar 雪币： 168 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	aresmar 37 楼有没有交流群表哥 2021-1-7 09:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (36) ◀ 1 2
雲瑞雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	雲瑞 26 楼如何全局HOOK呢。。所有进程message都替换掉 2020-5-19 09:47 0
走在北风里雪币： 1093 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	走在北风里 27 楼雲瑞如何全局HOOK呢。。所有进程message都替换掉 pde,pte读写位置1，干掉写copy,然后正常hook,hook的代码丢到共享内存里就可以了 2020-5-19 11:35 0
苏啊树雪币： 5317 活跃值： (3318) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 62 粉丝 33 关注私信	苏啊树 5 28 楼如果在你_OldCode数组后面，直接加上跳回到__MessageBoxAddress+5的地址处的机器码，并把_OldCode改为可执行，执行完你想要的操作再跳到_OldCode不就可以了，省得来来回回Hook，浪费性能或则漏勾 2020-5-21 21:36 0
hhkqqs 雪币： 12352 活跃值： (5874) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 29 楼苏啊树如果在你_OldCode数组后面，直接加上跳回到__MessageBoxAddress+5的地址处的机器码，并把_OldCode改为可执行，执行完你想要的操作再跳到_OldCode不就可以了，省得来来 ... 有弊端，如果函数头长这样： 55 push ebp 8B EC mov ebp, esp B8 78 56 34 12 mov eax, 12345678h 替换5字节之后，Addr+5处是截断的指令56 34 12，肯定不能直接jmp过去 2020-6-27 11:40 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 30 楼嗯，第一行如果是有用代码，这样会crash。如果遇到实例crash可以具体分析，借助反汇编再增加健壮性 2020-6-28 17:06 0
阿腊婆雪币： 202 活跃值： (228) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 10 粉丝 7 关注私信	阿腊婆 31 楼谢谢 2020-7-3 20:50 0
八零年的刘某雪币： 20 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	八零年的刘某 32 楼那个目标地址-原地址-5 是怎么回事，我弄了好多次地址都计算的不对。 2020-12-20 01:13 0
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 38 关注私信	低调putchar 1 33 楼八零年的刘某那个目标地址-原地址-5 是怎么回事，我弄了好多次地址都计算的不对。 jmp near xxx; 近跳指令长度为5字节操作码0xe9: 后面的相对偏移=目标地址-(近跳指令地址+5)=目标地址--近跳指令地址-5 2020-12-20 09:36 0
superlover 雪币： 10236 活跃值： (4411) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 1 关注私信	superlover 34 楼可以参考detours，来来回回hook确实不好 2020-12-20 10:12 0
mb_D34purZj 雪币： 3035 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 39 粉丝 2 关注私信	mb_D34purZj 35 楼学习 2020-12-20 13:10 0
八零年的刘某雪币： 20 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	八零年的刘某 36 楼谢谢已经会了。 2020-12-22 00:15 0
aresmar 雪币： 168 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	aresmar 37 楼有没有交流群表哥 2021-1-7 09:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复