hook教程
yes2
这个作者很懒,什么都没留下…
展开
-
hook模板x86/x64通用版(4)--CHook.cpp说明
因为注释比较齐全,所以同样不多说别的了。#include "StdAfx.h"#include "Hook.h"//导入bea反汇编引擎#define BEA_ENGINE_STATIC #define BEA_USE_STDCALL #include "../beaEngine/headers/BeaEngine.h"#ifdef _WIN64#pragma comm原创 2016-02-03 21:33:37 · 1987 阅读 · 0 评论 -
hook模板x86/x64通用版(3)--CHook.h说明
因为注释比较齐全,所以不多说别的了。Hook.h:#pragma once#ifdef _UNICODE#define _T(x) L ## x#else#define _T(x) x#endif#ifdef _WIN64#define WriteCall WriteCall_x64#define WriteJMP WriteJ原创 2016-01-28 21:11:18 · 1968 阅读 · 0 评论 -
hook模板x86/x64通用版(2)--中转函数的shellcode编写
这个模板的思路是这样的:1.破坏原地址的指令(至少5字节,此处如果含有跳转会报失败),写一个跳转,被破坏的指令迁移到别的地方;2.跳转到中转函数,中转函数中会调用用户定义的功能函数;3.执行原地址被破坏的指令,跳转到原地址的下一指令处。如果是在API(或普通call)头部进行hook的话,还支持执行API前调用用户定义的“执行前处理函数”,并在执行完API后调用用户定义的“执行后处原创 2016-01-27 22:00:07 · 1719 阅读 · 1 评论 -
hook模板x86/x64通用版(1)--x64下的jmp远跳、远call指令
我一直在寻找能用,通用,简短的x64远跳河远call指令现在用的跟大家分享一下,哪位大牛有更好的希望可以指点一下。还有pushad/popad在x64下有什么好的替代品么?求指点。远跳:代码:push 地址的低32位mov dword ptr ss:[rsp+4],地址的高32位ret远call:代码:call @next //e8 00原创 2016-01-25 15:20:29 · 3994 阅读 · 0 评论 -
WIN64上一种只需修改函数6个字节的INLINE HOOK方法
感谢:http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=8154很久以前通过看雪看到这个帖子,里面提到了只需修改函数6个字节的INLINE HOOK方法,大概思路是利用函数头的前8字节的思路。但是要求回帖可见,似乎注册门槛也挺高,就搁置了。今天灵感突然来了,自己琢磨出来了:jmp qword ptr [rip - 0x原创 2016-03-17 21:10:09 · 1048 阅读 · 0 评论