射-->XP/2003/VISTA的简单INLINE HOOK

最新推荐文章于 2023-03-18 21:37:23 发布
最新推荐文章于 2023-03-18 21:37:23 发布
阅读量722 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook byte header function user

哈哈,MJ牛放血那么久了,今天才仔细看了看她射的一个帖子. 原来inline hook是如此之方便耶. 当然是简单的.复杂滴还得自己写...

www.debugman.com/read.php

-----------------------------------------------------------------------------------------------------------

 

NTSTATUS
InlineHookFuncXP (
   IN PVOID FuncAddress,
   IN PVOID NewFuncAddress
   )

/*++

Author : MJ0011
User : sudami [xiao_rui_119@163.com]
Time : 08/01/24
  
参数 :
   FuncAddress - [IN] 原函数

   NewFuncAddress - [IN] inline hook 函数

返回 :
   STATUS_SUCCESS - inline hook 成功

   STATUS_UNSUCCESSFUL - 失败
  
功能 :
   在普通函数的开头处简单实现inline hook.XP以上版本适用
   btw -- 在新函数执行完后需要跳转到原函数地址 + 2处


直线上的这5字节内容,是在大部分函数头前面.都是nop.这刚好可以
放5字节的跳转: JMP XXXX

   |ˉˉˉ| --> 0xe9 (JMP)   
   |ˉˉˉ|   
   |ˉˉˉ|
   |ˉˉˉ|
   |ˉˉˉ| 这4字节存放新函数的地址
ˉˉ |ˉˉˉ|ˉˉ--> 符合inline hook 条件的函数的前5字节一般都是---
   |ˉˉˉ|                                                                                        |
                              ↓ˉˉˉˉˉˉ                
                                                                  <--      8bff mov     edi,edi
故只需要把8bff这2字节换成一个短转移 <--     55     push ebp
"ebf9" 便会跳转到 FuncAddress -5 处   <--      8bec mov     ebp,esp       

            <简单inline hook示意图>
--*/
{
KSPIN_LOCK SDTSpinLock;
KIRQL    oldIrql;
NTSTATUS state;

KeAcquireSpinLock (&SDTSpinLock, &oldIrql);

WPOFF();

__asm {
       push eax
       push ecx
       lea eax,[FuncAddress]
       mov eax,[ eax]
       /* 这几句是判断原函数是否符合这种简单inline hook的条件 */
       cmp byte ptr[ eax],0x8b   
       jnz failtohook
       cmp byte ptr[ eax+1],0xff  
       jnz failtohook
       mov ecx,0xffffffff

loopcheck:
       /* 这个循环确保函数头的上面5字节为nop;不是则hook失败 */
       cmp byte ptr[ eax+ ecx],0x90
       jnz failtohook
       dec ecx
       cmp ecx,0xfffffffa
       jnz loopcheck
      
       /* write the new function header:jmp short funcaddr-5(0x00-0x07) */
       mov byte ptr[ eax],0xeb
       mov byte ptr[ eax+1],0xf9
      
       /* write 1 byte : jmp xxxx */
       mov byte ptr[ eax-5],0xe9

       /* write 4 byte : x xxxx */
       mov ecx,[NewFuncAddress]
       sub ecx, eax
       mov dword ptr[ eax-4], ecx
       jmp hookok

failtohook:
       mov stat,0xc0000001
       jmp end

hookok:
       mov stat,0
end:
       pop ecx
       pop eax
}

WPON();
KeReleaseSpinLock (&SDTSpinLock, OldIrql);

return state;
}
 
iiprogram
关注
专栏目录
Z型精管理Android(4),Android的NDK开发(4)————JNI数据结构之JNINativeMethod
weixin_35343788的博客
05-25 3262
/********************************************************************************************* author:conowen@大钟* E-mail:conowen@hotmail.com* http://blog.csdn.net/conowen* 注:本文为原创,仅作为学习交流使用,转载请标明作者及出处...
E: Could not read response to hello message from hook [ ! -f /usr/bin/snap ] || /usr/bin/snap advise
Homepod123的博客
09-07 2508
在 win10 Linux的子系统上安装Python3时,报错 Ubuntu用apt安装软件报错 E: Could not read response to hello message from hook [ ! -f /usr/bin/snap ] || /usr/bin/snap advise-snap --from-apt 2&gt;/dev/null || true: Success E: Could not read response to hel 解决方法:sudo rm -rf /etc/a
彻底解决ubuntu下报错E: Sub-process /usr/bin/dpkg returned an error code (1)
热门推荐
lizheng2017的博客
04-28 5万+
问题描述: 使用apt-get install 安装软件报错E: Sub-process /usr/bin/dpkg returned an error code (1) @Override public void run() { bytes = mmInStream.read(buffer); mHandler.obtainMessage(READ_DATA, bytes, -1, buffer).sendToTarget(); } 原因分析及解决思路: 如果要安装某个软件包xxx,遇到此错误
CHROME插件开发bug之“chrome-extension://invalid/:1 GET chrome-extension://invalid/ net::ERR_FAILED”
slongzhang的博客
10-06 6205
网上找了半小时没找到问题和解决方案,只能自己调试了,经过两小时的调试,终于发现“chrome-extension://invalid”找不到资源的问题,是在处理远程文件是碰到’//域名.com/xxxx’的资源是由于没有http远程协议头,把该资源当作了本地资源,但本地又没有该资源就报错了,解决方法正则修正远程路径即可(为//xxx.com/xxx =&gt; http[s]:\//xxx.com/xxx) ...
龙叔Linux:abrt-hook-ccpp
龙叔运维的博客
04-01 9484
你了解linux的abrt-hook-ccpp吗,来读读本文了解下吧
C# inline-hook / api-hook
bruce135lee的专栏
02-13 775
我查阅了一下相关C#方面的资料,却没有发现有提供过关于api-hook方面的资料包括应用库由此本人编写一套inline-hook的库用于支持x64、x86上的基于在clr的公共语言,如: c#、c+/clr、vb.net 全部都可以使用该类库改变底层api执行结果,如我们需要制作抓包工具,或者拦截某个ActiveX对象内部调用的函数 用处广泛 有些人在制作“截包”工具时是通过使用SPI,但也可以通...
wsl,Ubuntu,关于解决E: Could not read response to hello message from hook [ ! -f /usr/bin/snap ] || /usr/
ChanYipFan的博客
06-07 1万+
大坑。 出现问题: 今天安装mysql, sudo apt-get install mysql-server 一直报错: E: Could not read response to hello message from hook [ ! -f /usr/bin/snap ] || /usr/bin/snap advise-snap --from-apt 2&gt;/dev/null || tru...
linux kernel 5.0 inline hook框架
qq_42931917的博客
03-18 1122
linux kernel inline hook
SandHook 第三弹 - 性能优化 & Xposed 模块 & 阻止 VM Inline
ganyao939543405的博客
02-22 5807
简介 前面有提到过 SandHook 需要手动写一个 Hook 方法作为 Hook 的入口,所以想要兼容 Xposed Callback 式 API 就必须凭空生成一个 Hook 方法来转发 Xposed Callback 逻辑。 所以我选择了 DexMaker,但是 Dexmaker 生成代码并且加载的时候还是太慢了,尽管只需要第一次生成(后面只需要加载即可),第一次 Hook 一个函数大概需要...
orchestrator一共用到两个脚本:其一 ----&gt; orch_hook.sh
07-23
用于orchestrator高可用来做 VIP切换的,该脚本略有瑕疵,并没有非常完美。但是生产上是可以用的,不过该脚本没有报警功能,请知悉。
react-modal-hook:使用React Hooks来处理模态的语法糖
05-02
对于简单的模态组件,请查看 ,它与该库配合使用。 目录 安装 npm install --save react-modal-hook 用法 使用ModalProvider为您的应用程序提供模态上下文: import React from "react" ; import ReactDOM from ...
inline-hook:简单的内联挂钩框架适用于x86,x64,手臂和拇指
04-30
这是一个简单inline-hook框架,目前仅适用于intel(32bit,64bit)和arm(仅适用于arm32和thumb),它基于c ++ 11的新功能。 如何构建:基于cmake 2.8的框架,您所要做的就是: cmake。 制作 使用方法: 该框架的...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
Django+Vue考勤系统答辩PPT.pptx
10-10
计算机毕业设计答辩PPT
Django+Vue购物商城系统答辩PPT.pptx
10-10
计算机毕业设计答辩PPT
基于KAN的轴承故障诊断(Python完整源码和数据)
最新发布
10-10
基于KAN的轴承故障诊断(Python完整源码和数据) Pytorch,torch==2.2.2,具体含基于KAN卷积的轴承故障分类。 KAN(Kolmogorov–Arnold Networks)的模型,它对标的是MLPs(多层感知机),这个模型由数学定理Kolmogorov–Arnold启发得出的。该模型最重要的一点就是把激活函数放在了权重上,也就是在权重上应用可学习的激活函数,这些一维激活函数被参数化为样条曲线,从而使得网络能够以一种更灵活、更接近Kolmogorov-Arnold 表示定理的方式来处理和学习输入数据的复杂关系。
高清车牌识别管理系统V9.9-2023-08-09-9.9-安装包
10-10
免狗、面加密
Java源代码-ssm+vue开发大学生第二课堂(含数据库、论文等资料文件).zip
10-10
本项目是一个基于SSM(Spring+SpringMVC+MyBatis)框架和Vue.js前端技术的大学生第二课堂系统,旨在为大学生提供一个便捷、高效的学习和实践平台。项目包含了完整的数据库设计、后端Java代码实现以及前端Vue.js页面展示,适合计算机相关专业的毕设学生和需要进行项目实战练习的Java学习者。 在功能方面,系统主要实现了以下几个模块:用户管理、课程管理、活动管理、成绩管理和通知公告。用户管理模块支持学生和教师的注册、登录及权限管理;课程管理模块允许教师上传课程资料、设置课程时间,并由学生进行选课;活动管理模块提供了活动发布、报名和签到功能,鼓励学生参与课外实践活动;成绩管理模块则用于记录和查询学生的课程成绩和活动参与情况;通知公告模块则实时发布学校或班级的最新通知和公告。 技术实现上,后端采用SSM框架进行开发,Spring负责业务逻辑层,SpringMVC处理Web请求,MyBatis进行数据库操作,确保了系统的稳定性和扩展性。前端则使用Vue.js框架,结合Axios进行数据请求,实现了前后端分离,提升了用户体验和开发效率。 该项目不仅提供了完整的源代码和相关文档,还包括了详细的数据库设计文档和项目部署指南,为学习和实践提供了便利。对于基础较好的学习者,可以根据自己的需求在此基础上进行功能扩展和优化,进一步提升自己的技术水平和项目实战能力。
dpkg: 错误: 执行钩子 if { test "$DPKG_HOOK_ACTION" = add-architecture || test "$DPKG_HOOK_ACTION" = remove-architecture; } && test -x /usr/share/pkg-config-dpkghook; then /usr/share/pkg-config-dpkghook update; fi 出错,退出状态为 -1
05-15
这个错误是由于执行 `dpkg` 命令时所触发的钩子脚本出现错误导致的。这个钩子脚本是 `/usr/share/pkg-config-dpkghook`,它的作用是更新 `pkg-config` 的配置信息。 你可以尝试以下方法来解决这个问题: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值