【转自论坛】系统API中如何实现hotpatching。。。

最新推荐文章于 2024-07-11 20:46:48 发布
最新推荐文章于 2024-07-11 20:46:48 发布
阅读量803 收藏
点赞数 1
分类专栏: Linux 文章标签: api 函数 汇编 hot-patching

原帖链接:http://bbs.csdn.net/topics/390940473?page=1#post-400726264

问题的来源于调试若干个系统的API函数,发现所有的系统API函数的开始出的汇编代码都会有如下的这个样子
76754A86   nop                             // 都会出现
76754A87   nop                             // 都会出现
76754A88   nop                             // 都会出现
76754A89   nop                             // 都会出现
76754A8A   nop                             // 都会出现
76754A8B   mov         edi,edi       // 都会出现
76754A8D   push        ebp
76754A8E   mov         ebp,esp
76754A90   pop         ebp
76754A91   jmp         76754A98
解答1:

hot-patching 是有条件的,需要开始有空白的代码,一边写入跳转指令。
所以 微软在她们的 API 之前,添加一个著名的指令 mov edi,edi 。这条指令没有任何意义,但是可以被 短跳转指令覆盖,她们都是两个字节的指令。这样函数就可以被旁路了。
如果你需要长跳转,那么先来短跳转,跳转到这个指令的上面的 5 字节去。而这个 5 个字节正好可以在进行一次长跳转。
这就是为什么在 mov edi,edi 之前可以看到 5 个 nop 指令。
这就是为什么函数开始是 mov edi,edi 和她上面有 5 个 nop 指令了,这就是为 hot-patching 准备的。当你使用 VC 编译的时候,在代码生成的属性里,使用创建可热修补映像的时候,就可以满足 hot-patching 的要求了。
至于为什么使用 mov edi,edi 而不适用两个 nop,传说是因为 mov 效率比较高的原因。而 mov 指令上面的 5 个字节是 nop ,是因为这 5 个 nop 指令从不指令, API 函数都是从 mov edi,edi 开始执行的。

hot-patching Detours 的区别:

这两者是不一致的,hot-patching 是有条件的,而 Detours 的条件更加宽松。
hot-patching 要求函数的开始有足够的空间执行 跳转指令,而 Detours 则要求整个函数的大小,至少能够装下跳转指令。
如果 可以 hot-patching ,那就可以不用 Detours ,因为 Detours 需要保存开始的被覆盖的指令。至少需要创建代码段,Detours 需要解析开始代码,知道第一个跳转指令大小之外的第一个代码的开始,一边保存被覆盖的代码和跳转回来的位置。相对于比较复杂。所以,如果你确认你的代码都是可以 hot-patching 的,那么就不需要 Detours 。

解答2:

做过hook,以下是我的猜想:
每个系统API前面都有这些代码确实是为了hot-patching,与detours库的原理差不多是一样的。
都是通过修改开始的几个字节以达到跳转到目标代码区域的目的。
比如要升级d3d9,系统中有d3d9_34.dll在使用,系统在升级时加载最新的d3d9_35.dll到所有加载了d3d9_34.dll的进程中,然后修改进程的d3d9_34.dll的所有API的前几个字节,使其跳转到d3d9_35.dll,完成热升级的目标。


小近视爱老花镜
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HotPatching:(非常)深入内部
04-09
有五种方法可供使用的热修补库!
Inline HOOK API 改进版(hot-patching
masefee C/C++游戏编程
06-11 1万+
记得在之前写过一篇hook api的文章(C/C++ HOOK API(原理深入剖析之-LoadLibraryA)),那篇文章主要原理是构造一块代码字节,将LoadLibraryA函数的前面16个字节给修改,然后跳转到自定义的函数。要调用正常的函数时,又将其unHook,这样一来再一次调用,有一次unhook和一次hook,操作显得过于频繁。而且hook与unhook当时设计成了thiscall,因此维护传递this的寄存器(通常是ecx)就成了必然,再加上参数的传递,__Inline_Hook_Fun
Oracle 11g 新特性 -- Online PatchingHot Patching 热补丁)说明
weixin_30691871的博客
11-22 244
一.官网说明MOS 的文档:RDBMSOnline Patching Aka Hot Patching [ID 761111.1] 有说明。这里取部分内容。A regular RDBMSpatch is comprised of one or more object (.o) files and/or libraries (.afiles). Installing a regular p...
hot patching
weixin_34302561的博客
10-14 108
Online Patching 说明说明:该部分内容摘自OCP 050教材。在Oracle 11g提出了online patch(也叫hot patch)的特性;Hot patching允许我们在实例始终在线的情况下安装,启用或禁用一个修复补丁(fix)或者诊断补丁(diagnostic patches)。使用热补丁可以安装、启用和禁用正在运行的活动Oracle 实例...
Hook :HOOK API 原理深入剖析2 - Inline(hot-patching
it技术学习
04-03 876
记得在之前写过一篇hook api的文章(C/C++ HOOK API(原理深入剖析之-LoadLibraryA)),那篇文章主要原理是构造一块代码字节,将LoadLibraryA函数的前面16个字节给修改,然后跳转到自定义的函数。要调用正常的函数时,又将其unHook,这样一来再一次调用,有一次unhook和一次hook,操作显得过于频繁。而且hook与unhook当时设计成了thiscal
覆盖网络组播与Patching算法在VOD系统的应用 (2005年)
05-25
针对现有VOD系统组播技术应用的缺陷和不足,提出了一种将覆盖网络组播技术Patching算法结合应用于VOD系统的方案。该方案充分利用了覆盖网络组播技术的优点,结合VOD系统特性及Patching补偿流技术,在合理的利用...
Patching:一个解决益智海盗游戏补丁问题的程序
05-10
要构建它,您将需要在根目录运行make 如何使用 在程序输入参数似乎很复杂。 您将需要查看Definitions.hpp并根据它查找电路板,以找到相应的字符表示形式。 例如,假设您有一块 这件作品被认为是SPOOL_LEFT ...
ansible-system-patching:用于管理系统补丁的 Ansible 角色
07-08
在命令行,您需要将 hosts 的值指定为 extra_vars 条目: ansible-playbook PatchSystems.yaml -e "hosts=<valid>" 该剧本默认为在修补后重新启动服务器。 覆盖重新启动 var 以更改此设置。 ansible-playbook ...
Beginners Dongle Patching.rar_Cracking Patching_beginners_dongle
07-13
beggenner to dongle cracking
Microsoft Patching Internals
01-25 1284
Author: EliCZ   . Caveat EmptorThis article was not written to read like a novel. It is a to-the-point technical dump d
mov edi,edi和Hot Patching详解
linuxheik的专栏
06-19 1157
mov edi,edi和Hot Patching的一点解释 2011年7月13日代码疯子发表评论阅读评论 最近发现不少函数开头都有mov edi,edi这样的指令,正好在《Advanced Windows Debugging》一书看到了一点解释。书上说是为了Hot Patching,网上也有这样的解释。 不过网上的解释有两种情况,一种是函数开头有mov edi, e
热补丁:为什么Windows API都以无意义的 mov edi,edi 开头?
CodeBowl的博客
10-18 397
为什么Windows函数都以无意义的MOVEDI、EDI指令开始? 我们参考Windows 的反汇编,返现函数的开始都是以mov edi,edi,它看似毫无意义(该指令将寄存器复制到自己,并没有更新标志;这是完全没有意义的。) 原因是:这是故意设计的热补丁(hot-patching)。 热补丁 这个MOV EDI, EDI指令是两个字节。NOP,这仅够在跳转指令进行修补,以便可以动态更新函数,即运行时修改一个函数的行为。 修改过程如下: 把MOV EDI, EDI修改为一条短跳转指令(一条短跳转指令恰好
必知必会-Hot Patch(热补丁)的两种方案
热门推荐
KD的疯狂实验室
01-04 1万+
素闻hot patch热补丁,它到底是个什么鬼?我之前只听说过,它很给力,实际上我在小学时候已经听说热补丁,国防科大教授让我们给系统打热补丁。 先看这里: 我想出来的办法代码是 热补丁Hook多线程下InlineHook解决方法-文章作者的做法 我的分析截图 原文 优缺点分析 如何对多线程程序进行补丁正是另人苦恼的事情,前两天因为工作遇到要inline hook的问
Linux实现热补丁
chrisnotfound
01-18 5920
热补丁是什么热补丁(hotfix),又称为patch,指能够修复软件漏洞的一些代码,是一种快速、低成本修复产品软件版本缺陷的方式。通过电子邮件或者其他途径来通知用户有关热补丁的消息,一般在软件供应商的网站上可以免费下载补丁程序。和升级软件版本相比,热补丁的主要优势是不会使设备当前正在运行的业务断,即在不重启设备的情况下,可以对设备当前软件版本的缺陷进行修复。Linux热补丁实现如果要修改一个已经
android 热更新技术框架地址
xiang12chen的专栏
08-09 880
andoird 热更新技术框架
格蠹汇编阅读理解
qiexinyueaifei的博客
07-08 306
一、调试工具使用方式。
13 协程设计原理与汇编实现
weixin_45842249的博客
07-08 565
如何定义协程*(线程)enum{//运行的状态CO_NEW;//新建CO_READY;//就绪CO_WAIT;//等待CO_SLEEP;//睡眠CO_EXIT;//退出int coid;//id//上下文//入口函数void *arg;//入口函数的参数//独立栈(每个协程不影响)*共享栈//栈的大小//就绪队列//睡眠队列//等待队列//退出队列考虑用那些数据结构来表示这几个状态:100个coroutine//用队列20个ready//30个sleep//
汇编层看64位程序运行——静态分析和动态分析入门
最新发布
方亮的专栏
07-11 418
本文我们只是做一个简单的介绍,后续我们将使用这些工具以及其他更多的工具,来深入分析软件在系统上运行的情况,以期展现出计算机微观世界的精彩设计。
patchtstpatching解析
06-03
在软件开发patching(补丁)通常指的是将代码的更改应用于现有代码的特定部分,以解决已知的问题或添加新功能。在PatchTestpatching是指将已知bug的修复程序应用于测试过程的软件版本,以验证修复程序是否有效。 具体来说,patchingPatchTest通常包括以下步骤: 1. 识别已知的bug和相关修复程序。 2. 将修复程序应用于测试过程的软件版本。 3. 运行测试用例以验证修复程序是否有效。 4. 分析测试结果,了解修复程序的效果和问题。 5. 根据分析结果,决定是否需要进一步修改修复程序或重新运行测试。 总的来说,patchingPatchTest至关重要的一步,它可以帮助开发人员快速验证修复程序的有效性,从而更好地保证软件质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值