首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
x64 inline hook rip相对寻址问题
发表于: 2022-1-25 01:26 5929

x64 inline hook rip相对寻址问题

巡夜人 活跃值
2022-1-25 01:26
5929

x64 inline hook

 

环境:
1、Windows 7 x86
2、不考虑PG

 

部分函数头14字节包含有rip relative相对寻址,会导致跳板函数执行错误,hook失败,蓝屏
隔壁论坛有说用反汇编引擎动态重定位生成跳板函数的,小弟理解其中原理但不太会搞,请问有什么成熟解决方案吗(内核模式下的)。

 

 

参考链接:
https://www.52pojie.cn/thread-1404054-1-1.html

https://github.com/stevemk14ebr/PolyHook 3环下,说是解决了这个问题


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费
支持
分享
最新回复 (3)
~时光荏苒
雪    币: 5587
活跃值: (5116)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
x86 内核存在这个问题吗>?
2022-1-25 17:08
0
巡夜人
雪    币: 33
活跃值: (651)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
~时光荏苒 x86 内核存在这个问题吗>?
x86 内核时指32位吗?32位只需构造5字节shellcode就可以了,一般5字节覆盖不了重要代码,64位需要14字节,容易覆盖到含有rip relative的指令。
2022-1-25 18:13
0
~时光荏苒
雪    币: 5587
活跃值: (5116)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
x64 内核 push ret 12字节 识别rip relative  修复下就好了
2022-1-25 19:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》