声明:这里的hook是指我们的dll劫持或者注入目标进程了
如果要使用远程线程调用的话还需要远程开辟内存空间,这里就不作讨论
基础:会看一点汇编代码
一、原理
通过改写代码实现特定的功能
比如说你要hook一段代码:
2.执行特定的功能,再跳转到77c8041继续执行
如果要使用远程线程调用的话还需要远程开辟内存空间,这里就不作讨论
基础:会看一点汇编代码
一、原理
通过改写代码实现特定的功能
比如说你要hook一段代码:
1.我们需要改写77c8003b这个地址开始的5个字节,替换成我们的jmp指令跳转到我们的函数
写成机器码的地址就是(目标地址-返回地址)2.执行特定的功能,再跳转到77c8041继续执行
注意在执行完我们的函数以后要保证堆栈平衡和寄存器值的平衡,不然程序会崩溃
二、实现
全局变量和声明:
int retAddress;//用于从你的函数跳回
byte originalcode[5];//用于unhook
int result;
__declspec(naked) void myfunction();//使用裸函数,自己平衡堆栈,防止编译器加的汇编代码造成堆栈的破坏
bool setHook(HANDLE hProcess,int hookAddress,int destoryLen);//要hook的进程句柄,要hook的地址,我们要损坏的指令长度,因为我们损坏的5个字节的长度可能连带损坏了跟他相连的指令
所以返回地址应该是下一条完整的指令,若我们恰好损坏5个字节,就是下一条指令的地址了
bool unHook(HANDLE hProcess,int hookAddress);//卸载hook
__declspec(naked) void myfunction()
{
//注意在裸函数里面不能进行变量的申请和赋值
__asm{
mov dword ptr ds:[eax],ecx
mov dword ptr ds:[eax+0x4],edx //这两条是原来的代码我们不能破坏,要加上去
//这里开始我们要读出ecx寄存器里的值了
//要保证我们的代码不会破坏堆栈和寄存器的值
mov result,ecx //将ecx的值赋值给result
jmp retAddress //这里因为不需要转换成机器码,所以直接jmp回去地址就行了
}
}
bool setHook(HANDLE hProcess,int hookAddress,int destoryLen)
{
byte jmpcode[5] = {0xe9};//我们的jmp指令
int* jmpinAddress = (int*)&jmpcode[1];
*jmp=(int)myfunction - (hookAddress+destoryLen);//计算跳转地址
ReadProcessMemory(hProcess,hookAddress,originalcode,5,NULL);//读取被hook的原来的代码
WriteProcessMemory(hProcess,(void*)hookAddress,jmpcode,5,NULL);//改成我们的jmp
}
bool unHook(HANDLE hProcess,int hookAddress)
{
WriteProcessMemory(hProcess,(void*)hookAddress,originalcode,5,NULL);//改成原来的代码
}