Ring3层下的Inline Hook是最常用的Hook手段之一，是一种通过修改机器码的方式来实现hook的技术。

我们知道正常函数的执行流程是call 0xxxxxxxx，然后跳转到调用的函数去执行。

0x1000地址的call指令执行后跳转到0x3000地址处执行，执行完毕后再返回执行call指令的下一条指令。

我们以MessageBox为例

正常调用如下：

首先是call MessageBox

可以看到MessageBox的地址为77101370

跳转到Message的程序开头。

我们在hook的时候，可能会读取或者修改call指令执行之前所压入栈的内容。

那么，我们可以将call指令替换成jmp指令，jmp到我们自己编写的函数，在函数里call原来的函数，函数结束后再jmp回到原先call指令的下一条指令。如图：

实现思路比较简单，主要思想：

1、构造跳转指令。

2、在内存中找到欲HOOK函数地址，并保存欲HOOK位置处的前5个字节。(但其实并不一定就是5个字节，像是MessageBox就是6个字节)

3、将构造的跳转指令写入需HOOK的位置处。

4、当被HOOK位置被执行时会转到我们的流程执行。

5、如果要执行原来的流程，那么恢复HOOK，也就是还原被修改的字节。

6、执行函数原来的流程。

在这过程中，主要涉及到几个问题：

1、如何定位自己要hook的地址？

2、如何处理函数开头要替换的字节？

3、如何跳转以及跳转地址如何计算？

4、自己的函数执行完成后，如何跳转回来？

那么带着这几个问题，我们开始尝试实现Inline hook。

我们还是以MessageBox为例子，来探究一下上面的问题。

这里我们使用近距离地址跳转的jmp指令，它的机器码为E9，这种类型的jmp指令需要一个地址参数，为当前jmp指令地址距离目标函数地址的字节数。

一、正常的跳转计算公式如下所示”：

计算公式：jmp跳转的地址=自己实现的函数地址-（jmp所在的地址+5) （这里的5是 jmp xxxxxxxx的五个字节。）

也就是：

二、mov eax xxxxxxxx；

jmp eax

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！