[求助]我想练习HOOKmessagebox，但是vc6.0下通过，vs2008就hook不到，为什么？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 2 楼 2008新建的工程默认是unicode吧 2009-9-3 23:17 0
lsupper 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	lsupper 3 楼跟这个没关系吧？我改成多字符的也不可以~~~ 2009-9-4 08:51 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 4 楼帮你测试了，你的代码在VS 2008下能成功HOOK　MessageBox 在你的机器上不行，可能是页保护的问题。 2009-9-4 09:22 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 5 楼在WriteProcessMemory之前: VirtualProtect(lpAddr,4,PAGE_READWRITE,NULL); 2009-9-4 09:25 0
lsupper 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	lsupper 6 楼 Fypher，调用了virtualprotest，还是不可以，我想应该不是这个问题，为什么在我同一个电脑上VC6.0就可以调试通过，vs2008不可以，说明不是页保护问题吧？ 2009-9-4 10:35 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 7 楼我用2008编译试了试，idata节Debug版本可写，Release版本不可写而且因为idata只读，所以只要读一次就够了，编译器把它优化成只在第一次用MessageBox的时候读了导入项，存在寄存器里，后面调用时直接用前面读到的，所以即使改了它也不会再去读了你可以试试在第一个MessageBox后面加一点复杂点的垃圾代码，比如说 GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); ，让它寄存器不够用，迫使它回去读导入项另外VirtualProtect 最后一个参数貌似不能为NULL 2009-9-4 13:24 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 8 楼 vs2008生成release版的exe时会给导入表加页属性的保护。 DWORD dwOld; VirtualProtect(lpAddr,4,PAGE_READWRITE,&dwOld); lpAddr = (DWORD)MyMessageBoxA; 这样就不会访问违规了。如楼上leftup同学所说，Release版做了代码优化（VS2008的优化效果当然比VC6.0强悍），第一次调用时直接把MessageBox存到了ESI里，以后调用就直接call esi。见main反汇编： 00401001 8B 35 B0 20 40 00 mov esi,dword ptr [__imp__MessageBoxA@16 (4020B0h)] 00401007 57 push edi 00401008 6A 00 push 0 0040100A 68 04 21 40 00 push offset string "09HookDemo" (402104h) 0040100F 68 10 21 40 00 push offset string "\xd4\xad\xba\xaf\xca\xfd" (402110h) 00401014 6A 00 push 0 00401016 FF D6 call esi* //第一次 00401018 6A 00 push 0 0040101A FF 15 0C 20 40 00 call dword ptr [__imp__GetModuleHandleA@4 (40200Ch)] 00401020 8B F8 mov edi,eax 00401022 E8 49 00 00 00 call SetHook (401070h) 00401027 6A 00 push 0 00401029 68 04 21 40 00 push offset string "09HookDemo" (402104h) 0040102E 85 C0 test eax,eax 00401030 74 0E je main+40h (401040h) 00401032 68 10 21 40 00 push offset string "\xd4\xad\xba\xaf\xca\xfd" (402110h) 00401037 6A 00 push 0 00401039 FF D6 call esi //第二、三次 0040103B 5F pop edi 2009-9-4 13:59 0
lsupper 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	lsupper 9 楼加那些：引用: GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); 基本没效果，但是根据Fypher最后所说的把virtualprotect的最后一个参数改下，在DEBUG和release下都通了~~~ 谢谢你们~~（Fypher，leftup） 2009-9-4 14:30 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼 Tag: VC6 VS2008 Debug Release HOOK 2009-9-4 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 2 楼 2008新建的工程默认是unicode吧 2009-9-3 23:17 0
lsupper 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	lsupper 3 楼跟这个没关系吧？我改成多字符的也不可以~~~ 2009-9-4 08:51 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 4 楼帮你测试了，你的代码在VS 2008下能成功HOOK　MessageBox 在你的机器上不行，可能是页保护的问题。 2009-9-4 09:22 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 5 楼在WriteProcessMemory之前: VirtualProtect(lpAddr,4,PAGE_READWRITE,NULL); 2009-9-4 09:25 0
lsupper 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	lsupper 6 楼 Fypher，调用了virtualprotest，还是不可以，我想应该不是这个问题，为什么在我同一个电脑上VC6.0就可以调试通过，vs2008不可以，说明不是页保护问题吧？ 2009-9-4 10:35 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 7 楼我用2008编译试了试，idata节Debug版本可写，Release版本不可写而且因为idata只读，所以只要读一次就够了，编译器把它优化成只在第一次用MessageBox的时候读了导入项，存在寄存器里，后面调用时直接用前面读到的，所以即使改了它也不会再去读了你可以试试在第一个MessageBox后面加一点复杂点的垃圾代码，比如说 GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); ，让它寄存器不够用，迫使它回去读导入项另外VirtualProtect 最后一个参数貌似不能为NULL 2009-9-4 13:24 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 8 楼 vs2008生成release版的exe时会给导入表加页属性的保护。 DWORD dwOld; VirtualProtect(lpAddr,4,PAGE_READWRITE,&dwOld); lpAddr = (DWORD)MyMessageBoxA; 这样就不会访问违规了。如楼上leftup同学所说，Release版做了代码优化（VS2008的优化效果当然比VC6.0强悍），第一次调用时直接把MessageBox存到了ESI里，以后调用就直接call esi。见main反汇编： 00401001 8B 35 B0 20 40 00 mov esi,dword ptr [__imp__MessageBoxA@16 (4020B0h)] 00401007 57 push edi 00401008 6A 00 push 0 0040100A 68 04 21 40 00 push offset string "09HookDemo" (402104h) 0040100F 68 10 21 40 00 push offset string "\xd4\xad\xba\xaf\xca\xfd" (402110h) 00401014 6A 00 push 0 00401016 FF D6 call esi* //第一次 00401018 6A 00 push 0 0040101A FF 15 0C 20 40 00 call dword ptr [__imp__GetModuleHandleA@4 (40200Ch)] 00401020 8B F8 mov edi,eax 00401022 E8 49 00 00 00 call SetHook (401070h) 00401027 6A 00 push 0 00401029 68 04 21 40 00 push offset string "09HookDemo" (402104h) 0040102E 85 C0 test eax,eax 00401030 74 0E je main+40h (401040h) 00401032 68 10 21 40 00 push offset string "\xd4\xad\xba\xaf\xca\xfd" (402110h) 00401037 6A 00 push 0 00401039 FF D6 call esi //第二、三次 0040103B 5F pop edi 2009-9-4 13:59 0
lsupper 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	lsupper 9 楼加那些：引用: GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); GetProcessHeap();GetCurrentProcess();GetCurrentThread();GetThreadLocale(); 基本没效果，但是根据Fypher最后所说的把virtualprotect的最后一个参数改下，在DEBUG和release下都通了~~~ 谢谢你们~~（Fypher，leftup） 2009-9-4 14:30 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼 Tag: VC6 VS2008 Debug Release HOOK 2009-9-4 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复