必知必会-Hot Patch(热补丁)的两种方案

最新推荐文章于 2024-05-16 09:35:27 发布
最新推荐文章于 2024-05-16 09:35:27 发布
阅读量1.8w 收藏 20
点赞数 21
分类专栏: 深造之旅 有趣-好玩 啊哈-灵光一闪
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/78971171
版权

素闻hot patch热补丁,它到底是个什么鬼?我之前只听说过,它很给力,实际上我在小学时候已经听说热补丁,国防科大教授让我们给系统打热补丁
先看这里:
这里写图片描述

如何对多线程程序进行补丁正是另人苦恼的事情,前两天因为工作遇到要inline hook的问题:

我想出来的办法+代码是:

  • 先修改 mov edi,edi为原地死循环。
  • 然后修改余下的push ebp mov ebp,esp为即将跳转过去的部分长度
  • 再修改死循环的两个字节为:E9 + XX//跳转的一部分
    *p = (WORD)0xFEEB;//实为EBFE    JMP $

    /*
    mov edi,edi        0x8b 0xff
    push ebp        0x55
    mov ebp,esp        0x8b 0xec
void Work();
bool Init();
void Patch();
/*
1. 准备好
2. 先修改造成死循环
8B FF
修改成:
EB FE
3. 半修改
8B FF 55 8B EC
E9 12 34 56 78//jmp 到我们的dll里面
//对参数对比,修改后进行处理。
//
4. 恢复
利用了原子操作
*/
FARPROC pSystemAddress = nullptr;
FARPROC pWorkAddress = nullptr;
DWORD oldProtect;
DWORD lengthChange = 0x5;
char* ByeAddress = nullptr;//回跳地址
bool Init(){
    //HMODULE hModule        = LoadLibrary(L"kernel32.dll");
    bool suc = false;
    HMODULE hModule = GetModuleHandle(L"kernel32.dll");
    if (hModule == 0)
    {
        return false;
    }
    pSystemAddress = GetProcAddress(hModule, "CreateProcessW");//能不能获取?
    if (pSystemAddress == 0)
    {
        return false;
    }
    //hModule = GetModuleHandle(NULL);
    //if (hModule==0)
    //{
    //    return false;
    //}
    pWorkAddress = (FARPROC)Work;
    if (pWorkAddress == 0)
    {
        return false;
    }
    ByeAddress = ((char*)pSystemAddress) + 5;
    return true;
}
//1修改页面属性
//2写地址
//3恢复属性
void Patch(){
    VirtualProtect(pSystemAddress, lengthChange, PAGE_EXECUTE_READWRITE, &oldProtect);
    PWORD p = (PWORD)pSystemAddress;//修改成死循环,防止出问题
    *p = (WORD)0xFEEB;//实为EBFE
    int offset = (DWORD)pWorkAddress - (DWORD)pSystemAddress - 5;
    *(((char*)p) + 2) = *((char*)(&offset) + 1);
    *(((char*)p) + 3) = *((char*)(&offset) + 2);
    *(((char*)p) + 4) = *((char*)(&offset) + 3);
    *p = (WORD)(0xE9 + (((WORD)(*((char*)(&offset) + 0))) << 8));
    VirtualProtect(pSystemAddress, lengthChange, oldProtect, &oldProtect);
}
//尽力避免冲突
//1修改页面属性
//2查看bWork;...........
//2写地址
//3恢复属性
void UnPatch(){
    VirtualProtect(pSystemAddress, lengthChange, PAGE_EXECUTE_READWRITE, &oldProtect);
    PWORD p = (PWORD)pSystemAddress;//修改成死循环,防止出问题
    *p = (WORD)0xFEEB;//实为EBFE    JMP $
    /*
    mov edi,edi        0x8b 0xff
    push ebp        0x55
    mov ebp,esp        0x8b 0xec
    */
    *(((unsigned char*)p) + 2) = 0x55;
    *(((unsigned char*)p) + 3) = 0x8b;
    *(((unsigned char*)p) + 4) = 0xec;
    *p = (WORD)(0x8b + (0xff << 8));
    VirtualProtect(pSystemAddress, lengthChange, oldProtect, &oldProtect);
}
/*
防止内容在Work()中
看标记呗
4. 全修改
裸函数
//获取字符串指针
mov eax,[ebp+4]//因为是push ebp之前所以+4
pushad
LPVOID str;
mov str,eax
wcsstr()//是否子串,返回位置,为NULL则不是。
je bye
//字符串复制
。。。。。。
对参数对比,修改后进行处理。
pushad
获取字符串对比之
是:
- 增加字符跳回:
否:直接跳回:
: bye
_asm popad
_asm push ebp
_asm mov ebp,esp
jmp 接下来的位置
lstrcmp
*/
bool bWork = false;
WCHAR LockHomePage[] = L"\"C:\\Users\\Administrator\\AppData\\Roaming\\360se6\\Application\\360se.exe\" http:\\\\pediy.com";
WCHAR NeedCmpString[] = L"\"C:\\Users\\Administrator\\AppData\\Roaming\\360se6\\Application\\360se.exe\" ";
/*是否需要释放原来的指针需要跟踪*/
void __declspec(naked) Work(){//需要裸函数
    _asm {
        mov bWork, 1//true
            push ebp
            mov ebp, esp
            mov eax, [esp + 0xC] //得到字符串,对比之
            push eax
            lea eax, NeedCmpString
            push eax
            call lstrcmpW
            cmp eax, 0
            jne  bye
            lea eax, LockHomePage
            mov[esp + 0xC], eax
        bye :
        mov bWork, 0//false
            mov eax, ByeAddress
            jmp eax
    }
}

“热补丁”Hook,多线程下InlineHook解决方法-文章作者的做法:

https://www.cnblogs.com/Toring/p/6664481.html

我的分析+截图

黄色区域为CreateProcessW的入口地址
这里写图片描述

  1. 先布置好劫持到目标的跳转在没有影响的区域:0x75861038
    E9 XX XX XX XX替换原来的NOP NOP NOP NOP NOP
    这里写图片描述

  2. 将入口mov edi,edi改成EB F9,构成一个死循环。
    patch后:
    这里写图片描述

只要双字节修改没有冲突即可,这个CPU和内存应当可以保证。

以下是

原文:

 “热补丁”(hot patch)是微软提出的一种安全Hook的机制,也是为了方便开发者对某些API函数进行下钩子。这种方法不同于普通的Inline hook更改首部的五个字节,而是更改首部的七个字节。为什么是七个字节呢?下边我们来讲一下这个的原理。

  我们可以看到CreateProcessW函数的首字节为 mov edi,edi(88 FF),这句汇编意思就是将edi的值放入edi,实际上并没有什么用,我们还看到在这个API上边有大段无用的字节。这就给了我们一种新的Hook思路,即将前两个字节改为短跳转指令(EB E9),使其跳到函数上边五字节处,然后再将这五个字节改为长跳转指令(E9 xxxxxxxx)。这样,即使Hook失败,也不影响函数的继续执行。
  接下来我们用代码来实现这一功能:

// HotPatch.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>

typedef BOOL(WINAPI *pfnCreateprocessW)(
    LPCTSTR lpApplicationName,
    LPTSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCTSTR lpCurrentDirectory,
    LPSTARTUPINFO lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation
    );

BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege);
BOOL HOOKByHotpatch(LPWSTR wzDllName, LPCSTR szFuncName, PROC pfnNewFunc);
BOOL UnhookByHotpatch(LPWSTR wzDllName, LPCSTR szFuncName);
BOOL WINAPI NewCreateProcessW(
    LPCTSTR lpApplicationName,
    LPTSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCTSTR lpCurrentDirectory,
    LPSTARTUPINFO lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation
);
int main()
{
    SetPrivilege(SE_DEBUG_NAME, TRUE);

    //hook
    HOOKByHotpatch(L"kernel32.dll", "CreateProcessW",
        (PROC)NewCreateProcessW);

    Sleep(1000);

    STARTUPINFO si = { 0 };
    si.cb = sizeof(si);
    si.dwFlags = STARTF_USESHOWWINDOW;
    si.wShowWindow = SW_SHOW;
    PROCESS_INFORMATION pi;

    //创建进程
    TCHAR cmdLine[MAXBYTE] = L"notepad.exe";
    BOOL bOk = CreateProcess(NULL, cmdLine,
        NULL, NULL, FALSE, NULL,
        NULL, NULL, &si, &pi);

    Sleep(1000);

    UnhookByHotpatch(L"kernel32.dll", "CreateProcessW");
    return 0;
}


//设置权限
BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
{
    TOKEN_PRIVILEGES TokenPrivileges;//权限令牌
    HANDLE TokenHandle = NULL;      //权限令牌句柄
    LUID  Luid;

    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
        &TokenHandle))
    {
        printf("OpenProcessToken error: %u\n", GetLastError());
        return FALSE;
    }

    if (!LookupPrivilegeValue(NULL,            // lookup privilege on local system
        lpszPrivilege,    // privilege to lookup 
        &Luid))          // receives LUID of privilege
    {
        printf("LookupPrivilegeValue error: %u\n", GetLastError());
        return FALSE;
    }

    TokenPrivileges.PrivilegeCount = 1;
    TokenPrivileges.Privileges[0].Luid = Luid;
    if (bEnablePrivilege)
        TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        TokenPrivileges.Privileges[0].Attributes = 0;

    // Enable the privilege or disable all privileges.
    //调整权限
    if (!AdjustTokenPrivileges(TokenHandle,
        FALSE,
        &TokenPrivileges,
        sizeof(TOKEN_PRIVILEGES),
        (PTOKEN_PRIVILEGES)NULL,
        (PDWORD)NULL))
    {
        printf("AdjustTokenPrivileges error: %u\n", GetLastError());
        return FALSE;
    }

    if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
    {
        printf("The token does not have the specified privilege. \n");
        return FALSE;
    }

    return TRUE;
}

//Hootpatch,将函数首字节改为 short jmp(EB F9)
BOOL HOOKByHotpatch(LPWSTR wzDllName, LPCSTR szFuncName, PROC pfnNewFunc)
{
    FARPROC pOrgFuncAddr = NULL;
    DWORD  dwOldProtect, dwAddress;
    BYTE    pBuf[5] = { 0xE9, 0, };
    BYTE    pBuf2[2] = { 0xEB, 0xF9 };
    PBYTE  pByte;

    pOrgFuncAddr = (FARPROC)GetProcAddress(GetModuleHandle(wzDllName), szFuncName);
    pByte = (PBYTE)pOrgFuncAddr;
    //判断是否被勾
    if (pByte[0] == 0xEB)
        return FALSE;

    //将前五字节代码改为可读可写
    VirtualProtect((LPVOID)((DWORD)pOrgFuncAddr - 5), 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);

    // 1. NOP (0x90)
    //将前五字节改为E8 xxxxxxxx
    dwAddress = (DWORD)pfnNewFunc - (DWORD)pOrgFuncAddr;
    memcpy(&pBuf[1], &dwAddress, 4);
    memcpy((LPVOID)((DWORD)pOrgFuncAddr - 5), pBuf, 5);

    // 2. MOV EDI, EDI (0x8BFF)
    //将函数前两个字节改为EB F9
    memcpy(pOrgFuncAddr, pBuf2, 2);

    VirtualProtect((LPVOID)((DWORD)pOrgFuncAddr - 5), 7, dwOldProtect, &dwOldProtect);

    return TRUE;
}

BOOL UnhookByHotpatch(LPWSTR wzDllName, LPCSTR szFuncName)
{
    FARPROC pHookFunc = NULL;
    DWORD  dwOldProtect;
    PBYTE  pByte;
    BYTE    pBuf[5]  = { 0x90, 0x90, 0x90, 0x90, 0x90 };
    BYTE    pBuf2[2] = { 0x8B, 0xFF };


    pHookFunc = (FARPROC)GetProcAddress(GetModuleHandle(wzDllName), szFuncName);
    pByte = (PBYTE)pHookFunc;
    if (pByte[0] != 0xEB)
        return FALSE;

    VirtualProtect((LPVOID)pHookFunc, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);

    // 1. NOP (0x90)
    memcpy((LPVOID)((DWORD)pHookFunc - 5), pBuf, 5);

    // 2. MOV EDI, EDI (0x8BFF)
    memcpy(pHookFunc, pBuf2, 2);

    VirtualProtect((LPVOID)pHookFunc, 5, dwOldProtect, &dwOldProtect);

    return TRUE;
}

BOOL WINAPI NewCreateProcessW(
    LPCTSTR lpApplicationName,
    LPTSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCTSTR lpCurrentDirectory,
    LPSTARTUPINFO lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation
)
{
    MessageBox(NULL, L"Hook", L"", 0);
    return TRUE;
}

需要注意的是使用这一方法钩取的适用条件(NOP*5指令+MOV ESI,ESI),使用的时候一定要反汇编看一下目标函数是否满足条件。

优缺点分析

两种方案都能达到目的,都是基于单个字节操作是线程安全的。
我的方案使用了两次该操作,而另一种方案是使用了一次该操作。
我推荐第二种方案,直观。

dalerkd
关注
  • 21
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UE4 更新经验总结与hotpatch插件分析
盲人东的博客
04-29 3796
因为更这种基本技术,在联网游戏里也是必修课。之前搞unity时候做过这个,但是到了ue4也算是从零开始。想掌握UE4更第一步肯定是看各种博客官方文档,我先把我看过的更相关文章地址列出给大家参考参考,这些文章也是我筛选过的有可以学习的知识。 一、如果之前没怎么接触过更的我建议先看官方文档,对整体有一个理解,我也是先跟着官方文档做了一遍更流程 https://docs.unreal...
Linux补丁的实现
kissLife的博客
04-24 7743
Linux补丁的实现
探索 Hotpatch:一款高效、便捷的程序补丁工具
gitblog_00006的博客
03-08 381
探索 Hotpatch:一款高效、便捷的程序补丁工具 项目简介 Hotpatch(GitCode 链接)是一款用于在运行时对程序进行修改和更新的开源工具。它提供了一种简单且安全的方式,帮助开发者快速修复程序中的漏洞或添加新功能,而无需重新编译或部署整个应用程序。 能用来做什么? 利用 Hotpatch,开发者可以: 快速修复线上应用中的紧急漏洞,减少系统停机时间。 在不重启服务的情况下添加新的...
探索未来的开发之道:HotPatcher —— 虚拟引擎的全方位资源管理框架
最新发布
gitblog_00017的博客
05-16 452
探索未来的开发之道:HotPatcher —— 虚拟引擎的全方位资源管理框架 项目地址:https://gitcode.com/hxhb/HotPatcher 随着游戏开发技术的飞速发展,高效且灵活的资源管理成为项目成功的关键因素之一。今天,我们有幸向您推荐一款强大的开源项目——HotPatcher,一个专为虚幻引擎设计的全面资源管理框架,它将更新、构建加速、包体优化和资源审计等功能融为一体,让...
应用程序补丁(三):完整的设计与实现
~~ LINUX ~~
01-27 820
前言 在前两篇文章介绍了应用程序补丁的关键技术: 修复运行时进程的函数 加载补丁到进程中 自动生成补丁等等 这些是组成应用程序补丁技术框架的关键部分,但是在生产环境中使用补丁技术还需要考虑适应现代软件的属性、补丁的安全性、以及在运营中对补丁的管理等等。 通过介绍UCloud应用程序补丁框架的设计理念和框架中各个组件,我们会解决以下实践中遇到的问题: 补丁的管理(加载、卸载、激活、回滚补丁等) 打入补丁时的安全检查(简单说是什么时候打入补丁是安全的) 补丁对.
如何替换一个Linux内核函数的实现-补丁原理
Netfilter
04-01 4332
昨晚发过誓了。不会再接着写二进制hook的手艺了,今天有网友咨询技术细节,终于又忍不住了… 为了不违背即便是胡乱说出口誓言,今天不写二进制hook,今天用C语言写,二进制只是沾点边儿! 看题目, 替换Linux内核函数的实现 ,what?这不就是kpatch嘛!也就是我们所谓的 补丁 。我们为内核做补丁的时候,没人用汇编写吧,没人用二进制指令码去拼逻辑吧,我们一般都是直接修改内核函数的C代码的...
gdb x命令_GDB高级技巧:边Debug边修复BUG,无需修改代码,无需重新编译
weixin_39539563的博客
11-29 442
友情提醒:本文介绍的调试技巧非常实用,但为了讲解清楚,篇幅较长,请耐心看完,我保证你定会有收获!引言程序调试时,你是否遇到过下面几种情况:1、经过定位,终于找到了程序中的一个BUG,满心欢喜地以为找到了root cause,便迫不及待地修改源码,然后重新编译,重新部署。但验证时却发现,真正的问题并没有解决,代码中还隐藏着更多的问题。2、调试时,我们找到代码中一个可疑的地方,但是不能100%确定这真...
so动态加载库Hotpatch.zip
07-16
Hotpatch 是一个允许正在运行的进程动态加载一个 so 库的 C 库,类似于 Win32 上的 CreateRemoteThread() API。 和其他现有的动态加载方案相比,Hotpatch 的优点是在加载 so 库之后将会恢复原先进程的运行状态。 开发者可以利用 Hotpatch 实现: 加载 so 库到一个已经运行的进程中。 调用该 so 库中的自定义函数。 向该函数传递序列化的参数。 它包含三部分: hotpatch.h 头文件,libhotpatch.so 库和命令行辅助程序 hotpatcher。 目前的局限有: 用户只能向拥有权限的进程注入 so 库(当然 root 用户可以向所有进程注入)。 目前仅支持 64 位 Linux,32 位支持将在下一个版本中完成。 在编译共享库时需要加上连接器参数 -fPIC -nostartfiles。 对于一个正在运行进程仅能动态加载一次 so 库文件。 标签:Hotpatch
react-webpack-HMR-middleware:通过webpack-dev-middleware和webpack-hot-middleware对模块重新加载做出React
05-07
react-webpack-HMR-middleware有三种方式实现加载:使用使用使用中间件关于怎么选择合适的方式, 这有一些简单...下面介绍一下第三种使用的加载方式, 使用中间件:webpack-dev-middleware & webpack-hot-middleware.
基于webpack-hot-middleware加载相关错误的解决方法
08-27
下面小编就为大家分享一篇基于webpack-hot-middleware加载相关错误的解决方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
cordova-hot-code-push-cli(更新插件)
08-11
更新时,我们执行命令 npm install -g cordova-hot-code-push-cli安装插件,但运行cordova-hcp server会报错,如:Could not create tunnel: { Error: ngrok is not yet ready to start tunnels...,这时我们找到...
HotpatchDemo
04-14
Android补丁框架。 gradle 1.5以上版本 补丁在压缩包中
vue-hot-reload-api:HotVue组件的重载API
05-02
vue-hot-reload-api 注意: vue-hot-reload-api@2.x仅适用于vue@2.x Vue组件的重装API。 这就是和在引擎盖下使用的东西。用法仅当您基于Vue组件编写一些构建工具链时,才使用此功能。 对于正常的应用程序使用,只...
HotPatch-EMC
YY_925的博客
08-25 451
1.介绍主角    E(Excalibur)M(Modules)C(Common)架构以高内聚、低耦合为主要的特点,以面向接口编程为出发点,降低了模块与模块之间的联系。HotPatch-EMC的架构主要目标在于解决移动APP的稳定性问题。通过RN与Native的主备,可以减少系统APP出错带来的失误成本
Android补丁原理简单分析与问题思考
要想到做到
08-31 3177
面对Android补丁修复)给人的美好愿景,相信大多数开发、运维人员都会为之所动。但是理想很丰满,现实却很骨感。本文在简单分析主流的补丁原理后,抛出一些自己想到或遇到的问题作为思考点,供看到的人参考。
补丁方案研究
天空之城
05-17 2633
补丁方案研究 基于阿里Andfix实现的Android补丁更新 目录  [隐藏]  1 What--什么是Hotfix2 Why--为什么我们要用Hotfix3 How--怎么用 3.1 添加依赖3.2 初始化3.3 打补丁3.4 大致原理3.5 多次打补丁3.6 安全性3.7 碰到的问题3.8 局限性3.9 与Nuwa对比 4 原理及源
linux 下C程序补丁技术的原理和实现——要求
tibaloga
10-20 2177
上半年做运营商的一个项目,设备规范是中兴华为这些大厂商写的,其中有关于补丁的要求。运营商对设备运行时间要求很高,不会让更改一个小小的问题都要重启程序。所以就有了补丁要求:要求程序在运行过程中能够更改程序的行为。 关于linux下补丁的实现资料不多,我只找到一个:http://www.cnblogs.com/WuCountry/archive/2010/02/22/1671537.html ...
小知识:什么是HotFix?HotFix安装步骤及注意事项
weixin_34365417的博客
07-28 7822
为什么80%的码农都做不了架构师?>>> ...
one-hot编码独编码
05-27
好的,你的问题是关于one-hot编码(独编码)的。那么,one-hot编码是一种常用的数据编码方式,它可以将每个类别映射为一个向量,其中只有一个元素为1(表示该类别),其余元素全部为0。例如,假设我们有三个类别A、B、C,那么它们的one-hot编码分别为[1,0,0]、[0,1,0]、[0,0,1]。这种编码方式常用于机器学习和深度学习中,可以将离散特征转换为连续特征,方便模型处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值