X64 inlineHook 总结

最新推荐文章于 2024-04-16 09:42:54 发布
最新推荐文章于 2024-04-16 09:42:54 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31314583/article/details/123995386
版权

提要

        inline hook最终目的其实就是修改了机器码,改变原有的执行流程。因此最终目的即使得cpu的eip变化。

热修补

        编译型的语言,在编译时候都有一个选项叫做热修补。热修补的最终实际实现其实是在每个函数头添加一个一段占位的汇编,且该汇编代码不会影响cpu的执行状态。

        说到这里,我们第一反应就是nop。没错,nop就是其中之一。不过一般的程序热修补都不会使用nop,而是一些其他的指令。譬如

USER32.SetRect+36       - CC                    - int 3 
USER32.SetRect+37       - CC                    - int 3 
USER32.SetRect+38       - CC                    - int 3 
USER32.SetRect+39       - CC                    - int 3 
USER32.SetRect+3A       - CC                    - int 3 
USER32.SetRect+3B       - CC                    - int 3 
USER32.SetRect+3C       - CC                    - int 3 
USER32.SetRect+3D       - CC                    - int 3 
USER32.SetRect+3E       - CC                    - int 3 
USER32.SetRect+3F       - CC                    - int 3 
USER32.CallNextHookEx   - 8B FF                 - mov edi,edi
USER32.CallNextHookEx+2 - 55                    - push ebp
USER32.CallNextHookEx+3 - 8B EC                 - mov ebp,esp
USER32.CallNextHookEx+5 - 51                    - push ecx
USER32.CallNextHookEx+6 - 51                    - push ecx
USER32.CallNextHookEx+7 - 64 8B 0D 18000000     - mov ecx,fs:[00000018] { 24 }
USER32.CallNextHookEx+E - 8B 81 DC0F0000        - mov eax,[ecx+00000FDC]

        上文中 CallNextHookEx 函数开头的 mov edi,edi 即为热修补的占位代码。目的是使得第一条指令的大小大于等于2字节。因为jmp 短跳的指令大小即为2字节。

        而该两字节仅仅作为跳板,跳到哪里呢,当然是上方的int 3的空地址空间,并且再修改此处的地址的代码再次跳转到真实地址。因为长跳转需要的地址长度超过了5字节。

用于hook的汇编代码

         1、2G空间范围内跳转: 5字节

02520000 - E9 FBFFADFF           - jmp 02000000
02520005 - 90                    - nop 
02520006 - 90                    - nop 
02520007 - 90                    - nop 
02520008 - 90                    - nop

        2、2G空间范围内表跳转:6字节

02520000 - FF 25 FAFFADFF        - jmp qword ptr [02000000]
02000000:存放函数地址

        3、无限制hook:16字节

02520000 - 50                      - push rax
02520001 - 48 B8 F0DEBC9A78563412  - mov rax,123456789ABCDEF0
0252000B - 48 87 04 24             - xchg [rsp],rax
0252000F - C3                      - ret

        4、直接跳转:14字节

02520000 - FF25 00000000 F0DEBC9A78563412 - jmp 123456789ABCDEF0

魔法狮子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
一个Inline Hook插件
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
Windows 64位和32位Inline Hook的例子。包括C语言代码,和封装好的C++类,绝对超值,超简单实用的例子,可以直接运行,用了绝对说好!
探秘And64InlineHook:Android平台的高效、轻量级钩子库
最新发布
gitblog_00020的博客
04-16 326
探秘And64InlineHook:Android平台的高效、轻量级钩子库 项目地址:https://gitcode.com/rrrfff/And64InlineHook And64InlineHook 是一个专为Android平台设计的64位内联钩子库,由开发者rrrfff创建并维护。该项目旨在提供一种简单、高效的动态代码替换机制,从而让开发者能够轻松地调试和修改应用程序的行为。 项目简介 An...
C++ Windows实现64/32位InlineHook(x86平台)
sthudy的博客
12-15 657
C++实现64/32位InlineHook
C/C++ x64 Inline Hook 代码封装
m0_46135508的博客
11-10 983
接着来研究一下64位程序的Hook,64位与32位系统之间无论从寻址方式,还是语法规则都与x32架构有着本质的不同,所以上面的使用技巧只适用于32位程序,注入32位进程使用,下面的内容则是64位下手动完成Hook挂钩的一些操作手法,由于64位编译器无法直接内嵌汇编代码,导致我们只能调用C库函数来实现Hook的中转.简单实现64位Hook去弹窗: 由于64位编译器无法直接内嵌汇编代码,所以在我们需要Hook时只能将跳转机器码以二进制字节方式写死在程序里,如下代码是一段简单的演示案例,主要实现了去弹窗的功能.
x64内核HOOK技术之拦截进程.拦截线程.拦截模块
weixin_30399155的博客
02-01 673
            x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下,例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉.直接讲表的地址修改即可. 但是在64位系统下,不可以这样操作了. 第一是因为 SSDT表加密了. 第二是 SSDT表你就算解密了.那么你的API的地址也会很远. SSDT表放不下4G以...
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 1628
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
Inline Hook 钩子编写技巧
热门推荐
CSDN
10-17 1万+
有时候我们需要自定义Hook对象,这时候我们就可以使用本方法,直接在最后写上我们需要Hook的地址即可。Inline Hook 钩子编写技巧
Windows的HooK技术实现(支持X86/X64版本)
江海细流的专栏
10-03 3372
hook技术应用广泛,如热补丁升级技术,API劫持,软件破解等,是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理,实现方法,同时送上demo实例。 HOOK技术的基本原理 HOOK的基本原理 Hook技术的原理的:就是修改程序的运行时PC指针,让程序跳到我们指定的代码中运行,运行完我们的程序,程序PC指针又回到原来程序的下一条指令。简而言之:就篡改程序的运行路径,来执行我们的程序。 二.Hook技术的实现 1)需求分析 ...
简单linux 下 x64任意地址的inlinehook
liutianheng654的博客
03-25 1243
相对主流工具frida,更加快速的inlinehook,代码简单,可以针对性进行修改
x64进程远程hook,x64_远程调用函数,源码更新V2.3:2021/5/5-易语言
06-11
源码为下方连接帖子后续更新内容:浅谈64位进程远程hook技术:(本帖介绍了 通讯模式为消息模式 采用JMP长转移时易语言 如何在X64进程中构建远程hook ) https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 源码是以WoW64开源模块的基础上封装的其他的功能,不管您是转载还是使用请保留版权,源码在精益论坛免费发布只作为技术交流本人未获利,请不要用于非法途径,否则造成的任何后果与本人无关。 源码可直接调试启动,编译时更改下模式即可编译为模块 在此要强调一个事情,我们封装这个hook源码并开源,初衷并不是让朋友去搞模拟器封包,只是为了更好弥补易语言对x64进程hook操作方面的资源 还有很多朋友经常来找我,加些其他封包API进来啊,某某按钮操作不方便啊,我想说的是源码自带实列只是为了让朋友们知道如何应用hook,我们开源的不是封包工具源码,我们只是种菜的不是炒菜的 。
X64 inline hook CreateProcessInternalW
11-24
本文将深入探讨一个具体的技术——X64内联钩子(Inline Hook),以及如何利用它来监视Windows系统中的进程创建。我们将以"CreateProcessInternalW"这个API函数为例,阐述其在64位Windows 7环境下(如VC2008)的实践...
inline hook x86 x64
01-27
内联钩子(Inline Hook)是Windows编程中一种常见的技术,它允许开发者在程序运行时动态地修改函数的行为,以实现诸如日志记录、性能监控、功能增强等功能。本文将深入探讨内联钩子在x86和x64架构下的原理、实现方法...
64位系统 inline api hook之我见
梦码工作室
11-12 3434
      说起Api hook朋友们都不陌生,说白了也就是运用WINDOWS系统钩子,捕获程序对系统API的调用,从面改变API默认的处理方式,以达到某种特殊的目的。而inline api hook在32位系统中通常是先保存API函数入口处的5个字节,然后改变API函数入口处的5个字节为一个JMP xxxx跳转指令,xxxx处是我们自己的处理函数的偏移地址。在我们的处理函数中,进行一系列动作,达到我们的目的后,再把所保存的5个字节还原到API函数入口处,然后进行调用,以实现API函数原有的功能。     
x64 Inline Hook 代码封装
CSDN
09-11 1万+
Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持.
x64 内核 InlineHook
qq_41490873的博客
06-27 843
需要使用LDE反汇编引擎 #include<ntddk.h> #include"LDE.h" #define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSW') #define kfree(_p) ExFreePool(_p) KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); UINT64 cr0 = __readcr0(); cr0 &= 0xff
x64微信hook拦截技术如何学
water_1991的专栏
02-02 1020
要学会基本的调试技术,学会使用64dbg调试,为什么不是OD呢,因为现在主流的大部分软件都转成64位了,微信目前也升级到64位版本了,熟练掌握64dbg就显得很重要,然后在学会CheatEngine 扫描数据就可以了。64dgb+CE 就可以分析调试数据了。总之要学会抄学网上开源的各种微信hook源码,不是原原本本抄下来,是要参考吸收老师们的调试思路,参考老师们的源码写法,要学会知其所以然。试着跟着图文教学流程,做一遍然后记录下来,自己参考老师的源码写出属于自己风格的源码,并加以创新,才能真正掌握。
c++ x64 inline hook
01-26
x64 Inline Hook(内联钩子)是一种在x64架构下实现的钩子技术,用于在程序运行时对函数进行修改或者监控。钩子技术可以用于实现一些高级功能,如函数拦截、行为修改和调试等。 Inline Hook的主要原理是通过修改函数的机器码,将目标函数的执行流程改变到一个特定的钩子函数,从而实现我们所需的功能。这个钩子函数可以进行一系列的操作,如记录参数、修改参数、替换返回值等。 x64 Inline Hook实现相对复杂,因为x64架构下的指令集更加复杂,并且x64架构引入了新的寄存器和指令,如RAX、R10、R11,还有新的调用惯例等。因此,在实现x64 Inline Hook前,我们需要对x64汇编指令和调用惯例有深入的了解。 具体实现Inline Hook主要包括以下几个步骤: 1. 定位到目标函数的地址。可以通过符号表、导入表或者动态调试等方式获取目标函数的地址。 2. 备份目标函数的原始字节码。为了在后续操作中恢复目标函数的完整执行流程,我们需要保留原始字节码。 3. 修改目标函数的字节码。通过修改目标函数的机器码,将执行流程转移到我们的钩子函数。 4. 编写钩子函数。钩子函数的参数和返回值需要与目标函数保持一致,并实现所需的功能。 5. 恢复目标函数的原始字节码。在钩子函数执行完毕后,需要将目标函数的字节码恢复到原始状态,以确保程序正常运行。 6. 跳回目标函数。在钩子函数执行完成后,我们需要将执行流程跳转回原始的目标函数。 需要注意的是,Inline Hook的实现需要考虑到多线程的情况,并且要保证对内存的修改是线程安全的,以及在恢复原始字节码时要避免潜在的问题。 总的来说,x64 Inline Hook是一种强大的技术,可以用于实现程序的函数修改和监控等高级功能。但它的实现相对复杂,需要对x64架构和汇编指令有深入的理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值