[求助]Inline hook如何才能不破坏原寄存器和堆栈环境?-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]Inline hook如何才能不破坏原寄存器和堆栈环境?

发表于: 2020-8-8 18:33 6930

未解决 [求助]Inline hook如何才能不破坏原寄存器和堆栈环境?

FeJQ

2020-8-8 18:33

6930

问题:在写64位inline hook的时候,在代理函数中,总是避不开破坏现场环境.
尝试解决:
1.倘若在代理函数头部将寄存器信息压入堆栈,此时如果目标函数的参数多于4个,则多余那些参数便取不到.
2.如果申请一段内存,将寄存器信息保存在这段申请的内存中,则需要将这段内存的地址作为参数传给saveRegister函数,如此rcx便被破坏.
3.如果将方案2申请的内存作为全局变量,在汇编文件中引用外部变量,可解决此问题,但如此一来,如果要hook 多个函数,则得引用多个外部变量,耦合太高了

不知有更好的解决方案吗?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・4

免费・1

支持

最新回复 (21)
qiusuper 雪币： 57 活跃值： (2433) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 103 粉丝 8 关注私信	qiusuper 2 楼兼容性最好的就是第3方案引用多个数组就是了 2020-8-8 19:52 0
闲人_ 雪币： 1067 活跃值： (627) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 1 关注私信	闲人_ 3 楼同求~ 2020-8-8 22:09 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 4 楼参考detours 2020-8-8 22:47 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 5 楼目标函数的参数大于4个，多余的参数一样可以传递给代理函数除此之外，还可以用线程局部变量来保存寄存器数据 2020-8-9 04:41 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼 FF 25 00 00 00 00 + ULONG64 addr 2020-8-9 13:33 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 7 楼 yy虫子yy 目标函数的参数大于4个，多余的参数一样可以传递给代理函数除此之外，还可以用线程局部变量来保存寄存器数据 x64通常由rsp+偏移来寻址,如果把寄存器给压入栈,那真的还能寻到多余4个的参数吗? 另外,可否请教一下"用线程局部变量来保存寄存器数据"该怎么做? 2020-8-9 13:56 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 8 楼 hzqst FF 25 00 00 00 00 + ULONG64 addr 谢谢,不过我指的是执行代理函数的代码会破坏现场啦, 2020-8-9 13:56 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 9 楼 FeJQ 谢谢,不过我指的是执行代理函数的代码会破坏现场啦, pushfq+pushaq+call internalproxy+popaq+popfq 2020-8-9 14:44 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 10 楼 hzqst pushfq+pushaq+call internalproxy+popaq+popfq 这么一堆push,那可不就寻不到第5,6,7...个参数了吗? 2020-8-9 14:54 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 11 楼 FeJQ 这么一堆push,那可不就寻不到第5,6,7...个参数了吗? mov rcx, rsp然后自己从stack+offset取啊 2020-8-9 15:19 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼 FeJQ x64通常由rsp+偏移来寻址,如果把寄存器给压入栈,那真的还能寻到多余4个的参数吗? 另外,可否请教一下"用线程局部变量来保存寄存器数据"该怎么做? 根据x64函数调用规则，以rsp+偏移的形式，超过4个参数由堆栈来传递那么代理函数把第5个参数从堆栈中取出来，按照规则再入一次栈，就可以传递给原函数调用而线程局部变量是为了多线程同时调用函数，使每个变量的数据都只对其所属线程可见也就是说其作用域只存在于此线程，数据不会被别的线程破坏，根据这一点，就可以用作寄存器数据的保存 2020-8-9 16:05 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 13 楼 yy虫子yy 根据x64函数调用规则，以rsp+偏移的形式，超过4个参数由堆栈来传递那么代理函数把第5个参数从堆栈中取出来，按照规则再入一次栈，就可以传递给原函数调用而线程局部变量是为了多线程同时调用函数， ... 感觉实现起来还是很棘手,不知有没有相关资料,代码,或x64内核hook库推荐? 2020-8-9 16:40 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼 FeJQ 感觉实现起来还是很棘手,不知有没有相关资料,代码,或x64内核hook库推荐? 棘手后才可以熟能生巧，怕棘手就干不成这事 2020-8-9 20:18 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 15 楼 yy虫子yy 棘手后才可以熟能生巧，怕棘手就干不成这事好的,谢谢啦 2020-8-9 22:47 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 16 楼动态生成汇编跳板函数（汇编是为了将地址硬编码进去），在跳板内备份和恢复最后于 2021-6-24 10:29 被不吃早饭编辑，原因： 2021-6-21 19:59 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 17 楼不吃早饭动态生成编写汇编跳板，在跳板内备份和恢复请问“动态生成编写汇编跳板”是什么意思？ 2021-6-23 22:02 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 18 楼 inline hook时别直接跳转到replace函数，先跳转到一级跳板函数内，在一级跳板函数内对寄存器和堆栈进行备份（为了保证能够将replace函数地址进行硬编码，需要使用汇编实现），调用原函数时，在真正执行原函数调用跳板前，先对寄存器和堆栈进行恢复即可。至于怎么硬编码进去，你怎么inline hook的就怎么硬编码进去咯最后于 2021-6-24 10:32 被不吃早饭编辑，原因： 2021-6-24 10:30 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 19 楼本来实现inline hook只需要在调用原函数前调用一个执行被覆盖指令的跳板函数，现在为了对寄存器和堆栈进行备份，我们还需要一个在执行replace函数前的backup跳板，以及调用原函数前的recovery跳板最后于 2021-6-24 10:32 被不吃早饭编辑，原因： 2021-6-24 10:32 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 20 楼不吃早饭本来实现inline hook只需要在调用原函数前调用一个执行被覆盖指令的跳板函数，现在为了对寄存器和堆栈进行备份，我们还需要一个在执行replace函数前的backup跳板，以及调 ... 明白啦, 感谢大佬 2021-6-24 11:05 0
mb_llkltsul 雪币： 327 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	mb_llkltsul 21 楼学习 2024-3-28 03:42 0
LightE 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	LightE 22 楼 FeJQ x64通常由rsp+偏移来寻址,如果把寄存器给压入栈,那真的还能寻到多余4个的参数吗? 另外,可否请教一下"用线程局部变量来保存寄存器数据"该怎么做? hao 2024-3-28 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

FeJQ

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
qiusuper 雪币： 57 活跃值： (2433) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 103 粉丝 8 关注私信	qiusuper 2 楼兼容性最好的就是第3方案引用多个数组就是了 2020-8-8 19:52 0
闲人_ 雪币： 1067 活跃值： (627) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 1 关注私信	闲人_ 3 楼同求~ 2020-8-8 22:09 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 4 楼参考detours 2020-8-8 22:47 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 5 楼目标函数的参数大于4个，多余的参数一样可以传递给代理函数除此之外，还可以用线程局部变量来保存寄存器数据 2020-8-9 04:41 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼 FF 25 00 00 00 00 + ULONG64 addr 2020-8-9 13:33 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 7 楼 yy虫子yy 目标函数的参数大于4个，多余的参数一样可以传递给代理函数除此之外，还可以用线程局部变量来保存寄存器数据 x64通常由rsp+偏移来寻址,如果把寄存器给压入栈,那真的还能寻到多余4个的参数吗? 另外,可否请教一下"用线程局部变量来保存寄存器数据"该怎么做? 2020-8-9 13:56 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 8 楼 hzqst FF 25 00 00 00 00 + ULONG64 addr 谢谢,不过我指的是执行代理函数的代码会破坏现场啦, 2020-8-9 13:56 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 9 楼 FeJQ 谢谢,不过我指的是执行代理函数的代码会破坏现场啦, pushfq+pushaq+call internalproxy+popaq+popfq 2020-8-9 14:44 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 10 楼 hzqst pushfq+pushaq+call internalproxy+popaq+popfq 这么一堆push,那可不就寻不到第5,6,7...个参数了吗? 2020-8-9 14:54 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 11 楼 FeJQ 这么一堆push,那可不就寻不到第5,6,7...个参数了吗? mov rcx, rsp然后自己从stack+offset取啊 2020-8-9 15:19 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼 FeJQ x64通常由rsp+偏移来寻址,如果把寄存器给压入栈,那真的还能寻到多余4个的参数吗? 另外,可否请教一下"用线程局部变量来保存寄存器数据"该怎么做? 根据x64函数调用规则，以rsp+偏移的形式，超过4个参数由堆栈来传递那么代理函数把第5个参数从堆栈中取出来，按照规则再入一次栈，就可以传递给原函数调用而线程局部变量是为了多线程同时调用函数，使每个变量的数据都只对其所属线程可见也就是说其作用域只存在于此线程，数据不会被别的线程破坏，根据这一点，就可以用作寄存器数据的保存 2020-8-9 16:05 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 13 楼 yy虫子yy 根据x64函数调用规则，以rsp+偏移的形式，超过4个参数由堆栈来传递那么代理函数把第5个参数从堆栈中取出来，按照规则再入一次栈，就可以传递给原函数调用而线程局部变量是为了多线程同时调用函数， ... 感觉实现起来还是很棘手,不知有没有相关资料,代码,或x64内核hook库推荐? 2020-8-9 16:40 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼 FeJQ 感觉实现起来还是很棘手,不知有没有相关资料,代码,或x64内核hook库推荐? 棘手后才可以熟能生巧，怕棘手就干不成这事 2020-8-9 20:18 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 15 楼 yy虫子yy 棘手后才可以熟能生巧，怕棘手就干不成这事好的,谢谢啦 2020-8-9 22:47 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 16 楼动态生成汇编跳板函数（汇编是为了将地址硬编码进去），在跳板内备份和恢复最后于 2021-6-24 10:29 被不吃早饭编辑，原因： 2021-6-21 19:59 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 17 楼不吃早饭动态生成编写汇编跳板，在跳板内备份和恢复请问“动态生成编写汇编跳板”是什么意思？ 2021-6-23 22:02 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 18 楼 inline hook时别直接跳转到replace函数，先跳转到一级跳板函数内，在一级跳板函数内对寄存器和堆栈进行备份（为了保证能够将replace函数地址进行硬编码，需要使用汇编实现），调用原函数时，在真正执行原函数调用跳板前，先对寄存器和堆栈进行恢复即可。至于怎么硬编码进去，你怎么inline hook的就怎么硬编码进去咯最后于 2021-6-24 10:32 被不吃早饭编辑，原因： 2021-6-24 10:30 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 19 楼本来实现inline hook只需要在调用原函数前调用一个执行被覆盖指令的跳板函数，现在为了对寄存器和堆栈进行备份，我们还需要一个在执行replace函数前的backup跳板，以及调用原函数前的recovery跳板最后于 2021-6-24 10:32 被不吃早饭编辑，原因： 2021-6-24 10:32 0
FeJQ 雪币： 660 活跃值： (2080) 能力值： ( LV4，RANK：55 ) 在线值：发帖 3 回帖 27 粉丝 50 关注私信	FeJQ 1 20 楼不吃早饭本来实现inline hook只需要在调用原函数前调用一个执行被覆盖指令的跳板函数，现在为了对寄存器和堆栈进行备份，我们还需要一个在执行replace函数前的backup跳板，以及调 ... 明白啦, 感谢大佬 2021-6-24 11:05 0
mb_llkltsul 雪币： 327 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	mb_llkltsul 21 楼学习 2024-3-28 03:42 0
LightE 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	LightE 22 楼 FeJQ x64通常由rsp+偏移来寻址,如果把寄存器给压入栈,那真的还能寻到多余4个的参数吗? 另外,可否请教一下"用线程局部变量来保存寄存器数据"该怎么做? hao 2024-3-28 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复