一个关于push ret HOOK的问题随记一下。

最新推荐文章于 2023-10-31 11:12:49 发布
最新推荐文章于 2023-10-31 11:12:49 发布
阅读量2.6k 收藏
点赞数
分类专栏: 逆向工程 文章标签: hook c 汇编 byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leitianjun/article/details/7250166
版权
 

在学习内核HOOK的问题,发现自已的基础就是XX,记录一下!

曾经的问题:

//加入pushad 及popad 这样会不会影响到JMP地址各个寄存器,
//因为以上代码和JMP到的地址代码为同一个函数。会吗?
//以上汇编代码处理后蓝屏,应该是堆栈不平问题。
问题:如何保证破坏后堆栈平衡?

 

//正常
lkd> u ObCheckObjectAccess l10
nt!ObCheckObjectAccess:
805c119c 8bff            mov     edi,edi
805c119e 55              push    ebp
805c119f 8bec            mov     ebp,esp
805c11a1 83ec10          sub     esp,10h
805c11a4 8b4508          mov     eax,dword ptr [ebp+8]
805c11a7 56              push    esi
805c11a8 57              push    edi
805c11a9 ff7514          push    dword ptr [ebp+14h]
805c11ac 8b78f0          mov     edi,dword ptr [eax-10h]
805c11af 8d4df0          lea     ecx,[ebp-10h]
805c11b2 51              push    ecx
805c11b3 8d4dfc          lea     ecx,[ebp-4]
805c11b6 33f6            xor     esi,esi
805c11b8 51              push    ecx
805c11b9 50              push    eax
805c11ba 8975f4          mov     dword ptr [ebp-0Ch],esi

//HOOK后
push    0AB248D18h       //我修改此地址进入我的函数后,直接JMP 805c11a9 以达到目地。
RET
in      al,dx
adc     byte ptr [ebx+57560845h],cl
805c11a9 push    dword ptr [ebp+14h]
805c11ac mov     edi,dword ptr [eax-10h]
805c11af lea     ecx,[ebp-10h]
805c11b2  push    ecx



__declspec(naked) void myhook()
{
__asm
{
 //模拟ObCheckObjectAccess函数头如下
 pushad
 mov     edi,edi
 push    ebp
 mov     ebp,esp
 sub     esp,10h
 mov     eax,dword ptr [ebp+8]
 push    esi
 push    edi
 popad
 //跳转到JMP 805c11a9 
 mov ebx,ObCheckObjectAccess
       add ebx,0xd
 jmp ebx
       
     }
}
动起手来实现白日梦
关注
专栏目录
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 1973
1三层netfilterhook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1filter 表 hook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook点上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
安卓逆向_24( 一 ) --- Hook 框架 frida( Hook Java层 和 so层) )
墨鱼菜鸡
07-11 5243
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida ( 信抢红包 ):https://www.freebuf.com/company-information/180480.html APP逆向神器之F...
C++ 用户层下的用Push+Ret API HOOK
clubthree的专栏
03-19 1135
说道API HOOK ,这已经是老掉牙的技术了,但是它的实用性却是不能忽视的。虽然在网上这类的文章很多,但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行,但是不通用,因为一些特殊函数的前5字节不是完整的,如果直接修改,就会截断指令,导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子,感觉想法很好,于是自己也写了一个。其中用到了一个头文件LDas
hook api (push xxxx/retn)
fanpeii的专栏
02-01 801
hook api (push xxxx/retn)
git hooks - git push后触发
changlina_1989的博客
07-21 1553
通过git hooks post-update函数实现push后触发业务逻辑操作
【干活!反汇编逆向】关于JMP跳转的最高境界,无跳胜有跳 PUSH ret
追逐光芒,追随内心
04-02 535
68C028BB - FF 35 C4D8C368 - push [68C3D8C4] 68C028C1 - 83 04 24 1D - add dword ptr [esp],1D 68C028C5 - C3 - ret //返回到 [0x68C3D8C4]+0x1D
git pre-push hook
weixin_30721899的博客
04-24 589
This article introduces git pre-pushhook. Problem InLeanproject, we use amodified versionofGoogle’s C++ style checker. I want toautomaticallyrun the checker over the changed filesbeforeI p...
Hooks使用push和splice
qq_45853974的博客
04-11 303
Hooks使用push和splice
记录Hook connect返回-1的问题
01-06
这是出现问题的代码,ret始终返回-1,经过WSAGetLastError() ,返回10035,导致连接失败 int New_connect(SOCKET s, const struct sockaddr FAR* name, int namelen) { g_connect->Lock(); g_connect->UnHook(); ...
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
通常,函数调用会通过跳转到函数地址执行,而Inline Hook是将这个跳转替换为一个小型的汇编代码段,这段代码会先执行我们的自定义逻辑,然后跳转到原始函数继续执行。在32位环境下,这通常涉及到修改EIP(指令指针)...
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4693
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
关于IA-32过程调用和其中的push、leave、ret指令
sakuraqwqqqqq的博客
12-29 1558
最近在复(yu)习(xi)《计算机系统基础》这门课程,发现了寄叽还是有很多问题。当时在学的时候没注意到的小细节,现在在这里展开说说,就当是一个记录寄叽学习的过程。我这个人理解能力不太行,我能理解的话,应该大噶看了都能明白。 过程调用的执行步骤 假定过程P调用过程Q,则P是调用者(caller),Q是被调用者。过程调用的执行步骤如下: ①P将入口参数(实参)放到Q能访问到的位置。 ②P将返回地址存到特定的地方,然后将控制转移到Q。(返回地址就是CALL指令的下一条指令的地址) ③Q保存P的现场,并为自己的
Push, Pop, call, leave 和 Ret 指令图解
热门推荐
striver1205的专栏
05-14 6万+
帧栈结构图:最近在研究如何在程序crash定位出错函数,补充的计算机系统基础知识。此篇主要是介绍IA32中帧栈结构(frame stack).
HOOK api ret address
落笔飞花笑百生的博客
04-27 512
 include 'win32ax.inc' use32 entry start section '.text' code readable executable start: invoke loadlib,dll invoke  getfunc,eax,   fuc mov dword [funcaddress],eax invoke VirtualProtect,dwor
git不同分支push之后通过hook自动部署到服务器不同路径
weixin_34237596的博客
08-22 438
我想做的是这么一件事:git 每创建一个新分支,push之后自动部署的服务器的不同路径,然后根据不同端口访问不同分支的代码,以方便进行该分支的测试。 并且我正在学习 thinkphp 5 呢,正好测试一下。 举个栗子来说就是:当我新建了一个分支为 8081_opqnext_test,然后完成了某个功能。git add、git commit...
Hook技术--④Ptrace和⑤Kernel Inline Hook
最新发布
一些个人笔记,写的不好之处,还请海涵
10-31 238
使用Linux Module、或者LSM挂载点对进程的启动动作进行实时的监控,并通过Ring0-Ring3通信,通知到Ring3程序有新进程启动的动作用ptrace函数attach上目标进程让目标进程的执行流程跳转到mmap函数来分配一小段内存空间把一段机器码拷贝到目标进程中刚分配的内存中去最后让目标进程的执行流程跳转到注入的代码执行用PTRACE_ATTACH或者PTRACE_TRACEME 建立进程间的跟踪关系。
hook模板x86/x64通用版(1)--x64下的jmp远跳、远call指令
yes2的专栏
01-25 4017
我一直在寻找能用,通用,简短的x64远跳河远call指令 现在用的跟大家分享一下,哪位大牛有更好的希望可以指点一下。 还有pushad/popad在x64下有什么好的替代品么?求指点。 远跳: 代码: push 地址的低32位 mov dword ptr ss:[rsp+4],地址的高32位 ret 远call: 代码: call @next   //e8 00
HOOK API 函数跳转详解
07-22 3573
什么是HOOK API:       Windows下暴露的对开发人员的接口叫做应用程序编程接口,就是我们常说的API。我们在写应用层应用程序软件的时候都是通过调用各种API来实现的。有些时候,我们需要监控其他程序调用的API,也就是,当其他应用程序调用我们感兴趣的API的时候,我们在他调用前有一个机会做自己的处理,这就是HOOK API的涵义。  思路:       我们知道Wi
exitkey: ret ; readkey endp delay proc push cx
03-22
具体来说,exitkey: ret表示一个名为exitkey的过程,它会返回到调用它的位置;readkey endp表示一个名为readkey的过程的结束;delay proc表示一个名为delay的过程;push cx表示将寄存器cx的值压入栈中。这些指令和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值