3.ring0-__STDCALL inline HOOK 和 __declspec(naked) inline HOOK区别

最新推荐文章于 2021-12-12 15:04:31 发布
最新推荐文章于 2021-12-12 15:04:31 发布
阅读量4.5k 收藏 4
点赞数
分类专栏: 安全 (ring0) 文章标签: 数据结构 windows 文档 工作 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/7562389
版权
两者差别

1.__STDCALL inline HOOK是针对整个函数的hook,好处是变量清楚,坏处时肯定只能在函数头hook

NTSTATUS __stdcall
NewNtQueryDirectoryFile(
						IN HANDLE FileHandle,
						IN HANDLE Event OPTIONAL,
												.......
					  )
{
return OldNtQueryDirectoryFile(FileHandle,\
									 Event,
									 ApcRoutine,
											 ........)

2.__declspec(naked) inline HOOK是针对函数局部的hook,好处是可以在任意处做hook,坏处是使用变量时只能用寄存器,看起来怪怪的 

__declspec(naked) FASTCALL NewKiReadyThread()
{
	__asm
	{
		pushad
		pushfd
 
		push ecx //ETHREAD object 取出线程的入口地址
		call IsGameProtectModuleThread
		cmp eax,0
		jnz _ThreadRet
 
		popfd
		popad
		jmp [KiReadyThreadHookZone]
 
_ThreadRet:
		popfd
		popad
		ret
	}
}


花熊
关注
专栏目录
三种call解释(一): cdcall stdcall naked call等在hook时,保持堆栈平衡
onlyfunboy的专栏
12-06 1506
exe调用某个函数时: int TestFun(int a, int b); EBP+C: second parameter EBP+8: first parameter EBP+4: return address EBP: previous EBP ===》 旧的ebp值(调用者的ebp) EBP-4: local variable EBP-8: local variable ...
(滴水中期练习)通过InlineHook NtReadFile实现R3到R0的通信
Sheepjj的博客
04-17 686
用ida查看NtReadFile的汇编代码 //参数注释 PAGE:0049D117 var_78 = dword ptr -78h PAGE:0049D117 var_74 = dword ptr -74h PAGE:0049D117 var_70 = dword ptr -70h PAGE:0049D117 var_6C = dword ptr -6Ch PAGE:0049D117 Irp = dword
【转】_declspec(naked) 使用
weixin_34355715的博客
11-29 136
// 将本文完整拷贝, 然后在VC6 下建立控制台程序, 可直接运行~  看到结果后再来阅读此文 // 文章出处甚多, 已不能列出所有连接 #include "stdafx.h"#include <stdio.h> /*    >>>>>>   _declspec(naked) 使用  <<<<<&am
Ring 0 Inline Hook
weixin_30785593的博客
01-22 162
本文讲 用inline hook的方式修改NtOpenKey函数的一个例子 hook 计算机里面一般是指 挂钩某函数,也可以是替换掉原来的函数。 inline hook 是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。 这是相对普通的hook来说,因为普通的hook只是修改函数的调用地址,而不是在原来的函数体里面做修改。一般来说 普通的hook比较稳定使用。 inli...
__declspec用法详解
章志强的专栏
11-02 2万+
__declspec用法详解   __declspec用于指定所给定类型的实例的与Microsoft相关的存储方式。其它的有关存储方式的修饰符如static与extern等是C和 C++语言的ANSI规范,而__declspec是一种扩展属性的定义。扩展属性语法简化并标准化了C和C++语言关于Microsoft的扩展。 用法:__declspec ( extended-decl-modif
__declspec的用法(转)
wawj522527的专栏
07-09 6023
2011-05-25 12:56 __declspec用于指定所给定类型的实例的与Microsoft相关的存储方式。其它的有关存储方式的修饰符如static与extern等是C和C++语言的ANSI规范,而__declspec是一种扩展属性的定义。扩展属性语法简化并标准化了C和C++语言关于Microsoft的扩展。 用法:__declspec ( extended-dec
软件安全之Hook 技术 Inline Hook技术应用 TraceMe.exe
SKPrimin的博客
12-12 3352
Hook 技术 实验须知 1实验说明 Hook 是在指令的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信息改变目标进程原本执行流程等目的。 2实验目的 本实验使用 Inline Hook 技术,挂钩 [raceMe.exe百度网盘地址(提取码1111)中计算序列号的代码,获取正确的序列号,加深对 Hook 技术的理解。 3实验原理 Hook Hook∶中文译作"挂钩"或"钩子",在指令执行的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信
基于VC++开发InlineHook网络数据发送接收函数
尹成的技术博客
10-09 4929
大家都懂,很多时候开发项目需要修改网络数据,代码如下,请柬代码分析#include "stdafx.h" #include #include #include #ifdef _MANAGED #pragma managed(push, off) #endif #define HOOK_API extern "C" _decls
hook api lib.zip
10-04
Hook API Lib 0.5.rar Hook API Lib 0.51.rar /* ////////////////////////////////////////////////////////////////////////// HookApi 0.5 thanks to xIkUg ,sucsor by 海风月影[RCT] , eIcn#live.cn 2008.04....
ring3 & ring0 通用InlineHook代码
08-28 1103
 作者: cooldiyer一晚上的战绩, 希望尊重版权, 写一个ring3下的例子,ring0下就不写了,很简单 复制内容到剪贴板 代码:#include #include "InlineHook.h"typedef void (__stdcall *__Sleep)(DWORD);__Sleep realSleep = NULL;VOID__stdcallMySleep(IN DWOR
c++函数默认值、函数重载、inline函数
Dthinking的博客
01-08 336
c++函数形参可以给默认值。函数声明时可以给默认值 函数有默认值,没有实参,用默认值 函数有默认值,有实参,用实参 形参和实参:从左向右匹配,从右向左依次赋值。 函数的默认值: 1、自右向左依次赋值 2、不能重复赋值(声明中给出默认值,定义中再不允许给出默认值) 3、一般给在声明上 _cdecl:c的标准调用约定 _stdcall:windows的标准调用约定 _f...
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
__declspec用法
reason的博客
11-08 1万+
原文链接:https://blog.csdn.net/zhangzq86/article/details/52982939           修饰函数  关键字                 __declspec用于指定所给定类型的实例的与Microsoft相关的存储方式。其它的有关存储方式的修饰符如static与extern等是C和 C++语言的ANSI规范,而__declspec是一种...
__declspec(naked)(裸函数)和__asm
Mr.Out的专栏
07-28 4311
<br />__declspec(naked) 是告诉编译器 不要对函数进行优化  函数的所有实现包括堆栈的平衡   参数的压栈 ebp的赋值 还原 都要我们来做<br />甚至是ret / ret n  都要我们来做 <br /> <br />演示代码<br />int add ( int a, int b ) { return a + b; } // 有压栈,又要有出栈,这样才能使堆栈平衡。 __declspec(naked)add2( int a, int b ) {
__forceinline, inline,__inline的详细说明
咕唧咕唧shubo.lk的专栏
05-26 8112
inline function_declarator;   __inline function_declarator;   // Microsoft相关__forceinline function_declarator;   // Microsoft相关__inlineinline等同。inline和__inline通知编译器将该函数的内容拷贝一份放在调用函数的地方,这称
X86 PUSHF/PUSHFD/PUSHFQ 指令详解
ross1206的博客
06-01 9766
SDM指令功能描述(PUSHF/PUSHFD/PUSHFQ) 总体描述: 根据操作数宽度的不同: 32: 栈指针递减4,然后压入eflags寄存器的值 16: 栈指针递减2,然后压入eflags的低16位 64: 栈指针递减8,然后压入rflags寄存器的值 当把eflags复制到栈顶的时候,VM(bit16)和RF(bit17)位不会被复制,而 会用 0填充**在虚808
__declspec(naked) 生成纯汇编使用方法
huobengle
10-31 478
__declspec(naked)是用来告诉编译器函数代码的汇编语言为自己的所写,不需要编译器添加任何汇编代码,通俗说可生成纯汇编。 使用方法: #define NAKED __declspec(naked) VOID NAKED MyFunc() { __asm { ret } } 1,使用 naked 关键字必须自己构建 EBP 指针 (如果用到了的话); 2,必须自己...
汇编学习, 裸函数
网瘾少年丶的博客
01-06 571
int __declspec(naked) function(int x, int y, int j) { __asm { //提升堆栈 push ebp mov ebp, esp sub esp, 0x40 //保护现场 push ebx push edi push esi //填充开避的内存空间 mov eax, 0xcccccccc mov e
__stdcall与__cdecl区别详解:调用规则与栈处理
总结来说,__stdcall和__cdecl在参数传递和责任归属上存在微妙差别,开发者在编写跨平台或特定平台的应用时,需要了解并根据实际情况选择合适的调用约定,以确保程序的正确性和性能。在选择时,要考虑项目需求、代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值