首页
社区
课程
招聘
[原创]Hook技术:Ring3层下的Inline Hook详解【附源码】
发表于: 2020-5-2 22:53 14437

[原创]Hook技术:Ring3层下的Inline Hook详解【附源码】

2020-5-2 22:53
14437
收藏
免费 6
支持
分享
最新回复 (36)
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
如何全局HOOK呢。。所有进程message都替换掉
2020-5-19 09:47
0
雪    币: 1093
活跃值: (294)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
雲瑞 如何全局HOOK呢。。所有进程message都替换掉
pde,pte读写位置1,干掉写copy,然后正常hook,hook的代码丢到共享内存里就可以了
2020-5-19 11:35
0
雪    币: 5317
活跃值: (3348)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
28
如果在你_OldCode数组后面,直接加上跳回到__MessageBoxAddress+5的地址处的机器码,并把_OldCode改为可执行,执行完你想要的操作再跳到_OldCode不就可以了,省得来来回回Hook,浪费性能或则漏勾
2020-5-21 21:36
0
雪    币: 12512
活跃值: (6019)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
29
苏啊树 如果在你_OldCode数组后面,直接加上跳回到__MessageBoxAddress+5的地址处的机器码,并把_OldCode改为可执行,执行完你想要的操作再跳到_OldCode不就可以了,省得来来 ...
有弊端,如果函数头长这样:
55                     push ebp
8B EC               mov ebp, esp
B8 78 56 34 12 mov eax, 12345678h
替换5字节之后,Addr+5处是截断的指令56 34 12,肯定不能直接jmp过去
2020-6-27 11:40
0
雪    币: 598
活跃值: (282)
能力值: ( LV13,RANK:330 )
在线值:
发帖
回帖
粉丝
30
嗯,第一行如果是有用代码,这样会crash。如果遇到实例crash可以具体分析,借助反汇编再增加健壮性
2020-6-28 17:06
0
雪    币: 202
活跃值: (228)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
31
谢谢
2020-7-3 20:50
0
雪    币: 20
活跃值: (246)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
那个 目标地址-原地址-5  是怎么回事,我弄了好多次 地址都计算的不对。
2020-12-20 01:13
0
雪    币: 2674
活跃值: (2304)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
33
八零年的刘某 那个 目标地址-原地址-5 是怎么回事,我弄了好多次 地址都计算的不对。
jmp near xxx; 近跳指令长度为5字节
操作码0xe9: 后面的相对偏移=目标地址-(近跳指令地址+5)=目标地址--近跳指令地址-5
2020-12-20 09:36
0
雪    币: 10413
活跃值: (4576)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
可以参考detours,来来回回hook确实不好
2020-12-20 10:12
0
雪    币: 3035
活跃值: (364)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
学习
2020-12-20 13:10
0
雪    币: 20
活跃值: (246)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
谢谢 已经会了。
2020-12-22 00:15
0
雪    币: 168
活跃值: (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
有没有交流群 表哥
2021-1-7 09:28
0
游客
登录 | 注册 方可回帖
返回
//