[分享]射-->XP/2003/VISTA的简单INLINE HOOK-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼呵呵把7个nop全用掉了不过这样hook很稳定，不会出现因为覆盖到了正在执行的代码而导致bsod的问题。 btw：精 2008-1-24 20:05 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼 mj牛的东西向来好啊 2008-1-24 20:36 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 4 楼嗯，这个办法曾经看过，有个局限性。需要对于被hook的函数有一个要求，就是其函数体前面要有5个字节的nop。其实它是一个detour的情况，改写函数执行流程。比较通用的inline hook 是保存函数开头5字节，然后改写开头字节，调到自定义函数执行，在需要执行原函数时，再回填保存的函数开头5字节，让原函数顺利执行。通常来讲，inline hook用在ring3非常好，不管你是hook 用户定义函数还是api函数。可是用在ring0就比较冒险。原因因为内核里常有线程切换，如果你把内核API还原，万一自己函数的线程被挂起，而又有线程要调用给API，这就会出现BSOD。 2008-1-24 21:16 0
StarsunYzL 雪币： 424 活跃值： (1879) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 5 楼哪位权威人士暴一下MJ到底是MM还是GG 2008-1-24 21:27 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼嗯,严重同意 mj是一位MM. 牛大婶 2008-1-24 21:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼 MJ是一个MM,我可以作证，大家都来吧~~ 这里MM多~~ 2008-1-24 23:58 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 8 楼俺现在比较关注ls的性别 2008-1-25 09:54 0
StarsunYzL 雪币： 424 活跃值： (1879) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 9 楼 vxk一看到MJ就露头…… 想知道vxk的性别就到这里看看吧 http://bbs.driverdevelop.com/htm_data/98/0711/106934.html 2008-1-25 10:02 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼那个照片见过不过也见别人把vxk叫MM过所以偶乱了 - -！ 2008-1-25 12:29 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 11 楼 ,原来是安全卫士 2008-1-25 13:41 0
uncledo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	uncledo 12 楼太销魂了，也谢谢大米兄的整理 2008-2-28 03:53 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 13 楼难道是传说中的HotPatch? 2008-2-28 12:10 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼稳定的方法一般是不会公开的 2008-2-28 13:50 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 15 楼 360是一支雄厚且独特的MM队伍。 2008-2-28 18:55 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 16 楼太正确了赞1个 2008-2-28 21:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 17 楼雄性队伍才是啊 2008-2-28 21:41 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 18 楼每个函数开头有的都是0xCC........... 2008-2-29 08:56 0
ertyui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	ertyui 19 楼纯支持下。哈哈 2008-5-14 18:31 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 20 楼支持bughoho的说法........ 2008-7-7 14:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼呵呵把7个nop全用掉了不过这样hook很稳定，不会出现因为覆盖到了正在执行的代码而导致bsod的问题。 btw：精 2008-1-24 20:05 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼 mj牛的东西向来好啊 2008-1-24 20:36 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 4 楼嗯，这个办法曾经看过，有个局限性。需要对于被hook的函数有一个要求，就是其函数体前面要有5个字节的nop。其实它是一个detour的情况，改写函数执行流程。比较通用的inline hook 是保存函数开头5字节，然后改写开头字节，调到自定义函数执行，在需要执行原函数时，再回填保存的函数开头5字节，让原函数顺利执行。通常来讲，inline hook用在ring3非常好，不管你是hook 用户定义函数还是api函数。可是用在ring0就比较冒险。原因因为内核里常有线程切换，如果你把内核API还原，万一自己函数的线程被挂起，而又有线程要调用给API，这就会出现BSOD。 2008-1-24 21:16 0
StarsunYzL 雪币： 424 活跃值： (1879) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 5 楼哪位权威人士暴一下MJ到底是MM还是GG 2008-1-24 21:27 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼嗯,严重同意 mj是一位MM. 牛大婶 2008-1-24 21:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼 MJ是一个MM,我可以作证，大家都来吧~~ 这里MM多~~ 2008-1-24 23:58 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 8 楼俺现在比较关注ls的性别 2008-1-25 09:54 0
StarsunYzL 雪币： 424 活跃值： (1879) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 9 楼 vxk一看到MJ就露头…… 想知道vxk的性别就到这里看看吧 http://bbs.driverdevelop.com/htm_data/98/0711/106934.html 2008-1-25 10:02 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼那个照片见过不过也见别人把vxk叫MM过所以偶乱了 - -！ 2008-1-25 12:29 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 11 楼 ,原来是安全卫士 2008-1-25 13:41 0
uncledo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	uncledo 12 楼太销魂了，也谢谢大米兄的整理 2008-2-28 03:53 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 13 楼难道是传说中的HotPatch? 2008-2-28 12:10 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼稳定的方法一般是不会公开的 2008-2-28 13:50 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 15 楼 360是一支雄厚且独特的MM队伍。 2008-2-28 18:55 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 16 楼太正确了赞1个 2008-2-28 21:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 17 楼雄性队伍才是啊 2008-2-28 21:41 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 18 楼每个函数开头有的都是0xCC........... 2008-2-29 08:56 0
ertyui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	ertyui 19 楼纯支持下。哈哈 2008-5-14 18:31 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 20 楼支持bughoho的说法........ 2008-7-7 14:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复