要涉及一些反汇编的知识,作者也不是很懂,可以提供一些思路
public class Test
{
public void Test1()
{
Console.WriteLine("test1");
}
}
class Program
{
static void Main(string[] args)
{
var obj = new Test();
obj.Test1();
//00E90898 E8 B3 FB FF FF call Test.Test.Test1() (0E90450h) h没什么用,应该是vs加的
//00E90450 E9 B3 04 00 00 jmp Test.Test.Test1() (0E90908h)
Console.ReadLine();
}
· }
先看一下这个简单的程序,在调用Test1函数的时候,查看反汇编代码为00E90898 E8 B3 FB FF FF call Test.Test.Test1() (0E90450)
意识应该是跳转到地址为0E90450 的地方,然后看0E90450地址对应的反汇编00E90450 E9 B3 04 00 00 jmp Test.Test.Test1() (0E90908)
然后0E90908这个地址对应的是函数体的开始位置,E9 对应的是jmp指令,后四位应该是一个相对地址 大概是00E90450 +(B3 04 00 00 ) +5 =0E90908
所以要hook 这个Test1这个函数,可以修改Jmp 后面的四位数字,
然后这个jmp 指令的地址00E90450 可以通过
var md1 = typeof(Test).GetMethod("Test1");
var p1 = md1.MethodHandle.GetFunctionPointer();
获取
所以下面是一个测试代码,使用32位
namespace Test
{
class Program
{
static void Main(string[] args)
{
var md1 = typeof(Test).GetMethod("Test1");
var md2 = typeof(Test).GetMethod("Test2");
var obj = new Test();
var p1 = md1.MethodHandle.GetFunctionPointer();
var p2 = md2.MethodHandle.GetFunctionPointer();
//编译函数
RuntimeHelpers.PrepareMethod(md1.MethodHandle);
RuntimeHelpers.PrepareMethod(md2.MethodHandle);
var bs1 = new byte[5];
Marshal.Copy(p1, bs1, 0, 5);
var bs2 = new byte[5];
Marshal.Copy(p2, bs2, 0, 5);
var rp1 = BitConverter.ToInt32(bs1, 1);
var st1 = p1.ToInt32() + rp1 + 5;
var rp2 = BitConverter.ToInt32(bs2, 1);
var st2 = p2.ToInt32() + rp2 + 5;
var offset = st2 - p1.ToInt32() - 5;
Marshal.WriteInt32(new IntPtr(p1.ToInt32() + 1), offset);
obj.Test1();
obj.Test2();
}
}
public class Test
{
public void Test1()
{
Console.WriteLine("test1");
}
public void Test2()
{
Console.WriteLine("test2");
}
}
}