JMP、Hook

最新推荐文章于 2024-07-06 19:30:00 发布
最新推荐文章于 2024-07-06 19:30:00 发布
阅读量1k 收藏
点赞数
分类专栏: win hook
  1. #include "stdio.h"  
  2. #include "tchar.h"  
  3. #include "windows.h"  
  4.   
  5.   
  6. //offset=目标地址-(jmp指令起始地址+5)  
  7. //跳转指令解码:[0xe9][offset]  
  8. //  offset:有符号整型,四字节.它等于jmp指令的下一指令地址到目标地址的相对距离  
  9. //  计算公式:  
  10. //  offset=目标地址-(jmp指令起始地址+5)  
  11. //其实还有0xeb等短跳转指令可用的,但用的最多的还是0xe9跳转  
  12.   
  13. BYTE jmp[5]={0};  
  14. BYTE enter[5]={0};  
  15. HANDLE hProcess=NULL;  
  16. DWORD pfnMsgBox=0;  
  17. DWORD dwOld=0;  
  18.   
  19. int WINAPI MessageBoxProxy(IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType)  
  20. {  
  21.  int ret=0;  
  22.  printf("this is MessageBoxProxy begin!\n");  
  23.  printf("Caption:%s\n",lpCaption);  
  24.  printf("Text:%s\n",lpText);  
  25.   
  26.  memcpy((void*)pfnMsgBox,enter,5);//恢复入口指令  
  27.  FlushInstructionCache(hProcess,(void*)pfnMsgBox,5);  
  28.   
  29.  ret=MessageBox(hWnd,lpText,lpCaption,uType);//调用原函数  
  30.    
  31.  memcpy((void*)pfnMsgBox,jmp,5);//写入跳转指令  
  32.  FlushInstructionCache(hProcess,(void*)pfnMsgBox,5);  
  33.  printf("this is MessageBoxProxy end!\n");  
  34.  return ret;  
  35. }  
  36.   
  37. void SetupHook(void)  
  38. {  
  39.  pfnMsgBox=(DWORD)GetProcAddress(GetModuleHandle(_T("user32.dll")),_T("MessageBoxA"));  
  40.  memcpy(enter,(void*)pfnMsgBox,5);//保存入口指令  
  41.   
  42.  jmp[0]=0xe9;  
  43.  *(int*)&jmp[1]=(int)&MessageBoxProxy-((int)pfnMsgBox+5);  
  44.    
  45.  //写入跳转指令,调用MessageBoxA时会跳到MessageBoxProxy  
  46.  VirtualProtect((void*)pfnMsgBox,5,PAGE_EXECUTE_READWRITE,&dwOld);  
  47.  memcpy((void*)pfnMsgBox,jmp,5);  
  48. }  
  49.   
  50. void RemoveHook(void)  
  51. {  
  52.  DWORD dwtemp;  
  53.  memcpy((void*)pfnMsgBox,enter,5);  
  54.  FlushInstructionCache(hProcess,(void*)pfnMsgBox,5);  
  55.  VirtualProtect((void*)pfnMsgBox,5,dwOld,&dwtemp);  
  56. }  
  57.   
  58. int main(void)  
  59. {  
  60.  hProcess=GetCurrentProcess();  
  61.   
  62.  SetupHook();  
  63.  MessageBox(NULL,_T("Hook Demo!"),_T("API Hook"),MB_ICONINFORMATION);  
  64.    
  65.  RemoveHook();  
  66.  MessageBox(NULL,_T("Hook Demo!"),_T("API Hook"),MB_ICONINFORMATION);  
  67.  system("pause");  
  68.  return 0;  
  69. }  
linuxheik
关注
专栏目录
JMP Call hook
11-19
本主题聚焦于"JMP Call Hook",这是两种不同类型的钩子技术之间的较量,涉及到软件的动态行为分析、逆向工程以及安全防护策略。 首先,我们来理解JMP(Jump)和CALL指令在汇编语言中的作用。JMP是无条件跳转指令,...
使用修改为jmp指令的方式hook 32位函数
AppNinja 开发手记
07-17 314
要填写jmpInstruction的最后4个字节,我们需要它们之间的偏移量payload函数和jmp指令之后的指令。//32位相对跳转jump操作码为E9,后面带着1个32位操作数作为跳转偏移量。
hook模板x86/x64通用版(1)--x64下的jmp远跳、远call指令
yes2的专栏
01-25 3996
我一直在寻找能用,通用,简短的x64远跳河远call指令 现在用的跟大家分享一下,哪位大牛有更好的希望可以指点一下。 还有pushad/popad在x64下有什么好的替代品么?求指点。 远跳: 代码: push 地址的低32位 mov dword ptr ss:[rsp+4],地址的高32位 ret 远call: 代码: call @next   //e8 00
47.HOOK引擎优化支持CALL与JMP位置做HOOK
最新发布
计算机王的博客
07-06 304
游戏逆向、游戏安全、c++、反游戏外挂
JMP方法HOOK
gezi322的专栏
04-14 1695
 JMP  HOOK  IAT  detours Win9x   系统中,系统DLL被装入实际的物理存储器,然后映射到每个进程的0x80000000~0xBFFFFFFF共享内存区,如果修改这段区域的DLL代码,则对于所有进程都有效(实际Win98对主要的系统DLL作了保护,除非进入ring0才能修改)。        Win2000/NT   的进程空间不存在共享内存区,尽管DLL被装入
【PE】inline hook的实现
woodwhale的博客
04-23 684
学习一下inline hook
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
Hook Windows API
03-14
Hook Windows API的核心思想是替换目标API函数的入口点,通常通过修改函数调用前5个字节(对于x86架构,这通常是JMP指令的长度)来实现。这一过程通常被称为"Detouring"或"Patching"。修改后的指令会跳转到我们自己...
delphi hook library
09-24
在32位系统中,可能使用经典的JMP指令来跳转到自定义的处理函数;在64位系统中,可能涉及到RIP相对寻址和更大的指令调整。 3. **Hook Types**: Delphi Hook Library可能包含多种类型的Hook,如API Hook(用于拦截...
hook api jmp调用底层windows
05-06
总的来说,Hook API jmp调用底层Windows是一种强大的技术,它可以用来进行功能扩展、调试、安全检测等多种用途。然而,使用时需谨慎,因为它涉及到系统级别的操作,如果使用不当,可能会对系统稳定性和安全性产生...
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
逆向学习之Hook技术
xf555er的博客
08-15 5781
IAT表:全称Import Address Table,中文名为导入地址表每一个进程都有这样一个IAT表,而这个IAT表存储着当前这个模块所用到的所有api函数地址将程序拖入OD里,随便找一个调用系统api的函数,然后数据跟随内存地址,会发现这些api函数在IAT表里的位置都是挨在一起的只要将这些函数的地址修改成指向我们自行设置的函数地址,就能实现所谓的IAT Hook又称为超级Hook, 比起IAT Hook, 它的实用性更强以及更加容易过检测。...
HOOK API技术介绍
心之所向,身之所往
05-17 1304
在Windows 操作系统里面,API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多,分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。API HOOK技术是一种用于改变API执行结果的技术,例如翻译软件可以通过Hook TextOut函数或其他相关的API函数,在执行系统真正的API之前,截获TextOu
【干货】【C语言实现HOOK 跳转和用C语言变量存储目标进程的寄存器数值】 CALL / JMP/ MOV 变量内存地址
追逐光芒,追随内心
03-12 938
有的时候要写CALL ,就用下面的 void WriteCall(DWORD ProcAddr,LPVOID lpData) { BYTE _data[5]; _data[0]=0xE8; DWORD OldPro; VirtualProtect((LPVOID)(ProcAddr),5,PAGE_EXECUTE_READWRITE,&OldPro); memcpy((LPVOID)(_data+1),lpData,4);//_data是变量的内存地址 memcpy((LPVOID)(ProcAdd
hook小试
Starr
10-18 280
hook 文章目录hook1. 原理2. hook分类2.1 消息hookmsgbullet.dllmsghook.cpp2.2 自定义hookinline hookIAT hook3. 代码示例3.1 inline hookInlineHook.dllCallHook.cpp3.2 IAT hookIAT_Hook.dllcallHook.c hook(钩子)技术:拦截程序原有的信息、数据、代码...
DLL劫持三:inline hook JMP实例 (UDP recvfrom)
qffhq 点积
08-30 1566
核心代码从网上找的,但原始函数调用一直有问,经过分析 整理并测试成功。   DWORD OldProtect2; byte pData[10]; //保留原始函数的调用 FARPROC FunAddr; //生成新的函数调用 typedef int ( WINAPI RecvFromFN)( SOCKET s, char *buf, int len, int flags, sock
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值