首页
社区
课程
招聘
[分享]射-->XP/2003/VISTA的简单INLINE HOOK
发表于: 2008-1-24 19:44 13093

[分享]射-->XP/2003/VISTA的简单INLINE HOOK

2008-1-24 19:44
13093

哈哈,MJ牛放血那么久了,今天才仔细看了看她射的一个帖子. 原来inline hook是如此之方便耶. 当然是简单的.复杂滴还得自己写...

http://www.debugman.com/read.php?tid=670


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (19)
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
呵呵  把7个nop全用掉了  不过这样hook很稳定,不会出现因为覆盖到了正在执行的代码而导致bsod的问题。

btw:精
2008-1-24 20:05
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
3
mj牛的东西向来好啊
2008-1-24 20:36
0
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
4
嗯,这个办法曾经看过,有个局限性。需要对于被hook的函数有一个要求,就是其函数体前面要有5个字节的nop。其实它是一个detour的情况,改写函数执行流程。
比较通用的inline hook 是保存函数开头5字节,然后改写开头字节,调到自定义函数执行,在需要执行原函数时,再回填保存的函数开头5字节,让原函数顺利执行。
通常来讲,inline hook用在ring3非常好,不管你是hook 用户定义函数还是api函数。
可是用在ring0就比较冒险。原因因为内核里常有线程切换,如果你把内核API还原,万一自己函数的线程被挂起,而又有线程要调用给API,这就会出现BSOD。
2008-1-24 21:16
0
雪    币: 424
活跃值: (1884)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
哪位权威人士暴一下MJ到底是MM还是GG
2008-1-24 21:27
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
6
嗯,严重同意

mj是一位MM.

牛大婶
2008-1-24 21:51
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
7
MJ是一个MM,我可以作证,大家都来吧~~
这里MM多~~
2008-1-24 23:58
0
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
8
俺现在比较关注ls的性别
2008-1-25 09:54
0
雪    币: 424
活跃值: (1884)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
vxk一看到MJ就露头……



想知道vxk的性别就到这里看看吧
http://bbs.driverdevelop.com/htm_data/98/0711/106934.html
2008-1-25 10:02
0
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
10
那个照片见过  不过也见别人把vxk叫MM过  所以偶乱了 - -!
2008-1-25 12:29
0
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
11
,原来是安全卫士
2008-1-25 13:41
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
太销魂了,也谢谢大米兄的整理
2008-2-28 03:53
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
13
难道是传说中的HotPatch?
2008-2-28 12:10
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
稳定的方法一般是不会公开的
2008-2-28 13:50
0
雪    币: 1946
活跃值: (248)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
15
360是一支雄厚且独特的MM队伍。
2008-2-28 18:55
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
16
太正确了
赞1个
2008-2-28 21:06
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
17
雄性队伍才是啊
2008-2-28 21:41
0
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
每个函数开头有的都是0xCC...........
2008-2-29 08:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
纯支持下。哈哈
2008-5-14 18:31
0
雪    币: 107
活跃值: (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
支持bughoho的说法........
2008-7-7 14:34
0
游客
登录 | 注册 方可回帖
返回
//