高并发下的hook写法

最新推荐文章于 2023-11-29 11:54:34 发布
最新推荐文章于 2023-11-29 11:54:34 发布
阅读量562 收藏
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/106522089
版权

HOOK原理

在并发的情况下要HOOK函数需要使用CMPXCHG8B 指令,该指令可以原子操作一次性的替换掉8字节的内存。

CMPXCHG8B 指令

该指令判断指定内存中的8字节内容和EDX:EAX (edx高32位,eax,低32位)中的64字节内容是否相同,
如果相同,就把ECX:EBX(ecx高32位,ebx,低32位)中的内容替换到指定内存。
如果不相同,就把指定内存中的值替换到ECX:EBX中。

#include"ntddk.h"
ULONG addr = 0x80546a98;   //这是SwapContext+8的位置
_declspec(naked) void Swap()
{
	__asm{

		push eax
		mov eax,0x8003f048  //记录切换的次数
		inc dword ptr [eax]
		pop  eax
		//下面开始恢复原函数的指令
		or      cl, cl
		mov     byte ptr es : [esi + 0x2d], 0x2
		pushfd
		jmp addr  //在自己的hook函数处理完后,跳转到原函数+8的位置
	}
}

VOID __stdcall UnLoad(PDRIVER_OBJECT pDriver)
{
	DbgPrint("Driver 卸载成功");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	pDriver->DriverUnload = UnLoad;
	ULONG JmpAddr = (ULONG)Swap - 0x80546a90 - 5;//0x80546a90是SwapContext函数的地址
	ULONG des[2] = {0};
	DbgPrint("JmpAddr=%x\n",JmpAddr);
	//去掉最高的8位  然后+e9
	des[0] = (JmpAddr<<8)+ 0xe9;  //xxxxxx e9    000000xx
	//保留最低的8位  并移到最高位
	des[1] =(JmpAddr>>24);

	DbgPrint("des[0]=%x\n", des[0]);
	DbgPrint("des[1]=%x\n", des[1]);

	//准备好写入的8字节数据
	__asm{
		//把 EDX : EAX设置为目标的值
		mov esi, 0x80546a90
		//eax=0xc626c90a
		mov eax, [esi]
		//edx=0x9c022d46 
		mov edx, [esi+4]
		// 把ECX:EBX  设置为要写入的值
		
		//ebx= xx2d029c
		mov ebx, des[0]
		//ecx=e8xxx
		mov ecx, des[4]
		
		lock CMPXCHG8B [esi] ;
		
	}
	DbgPrint("高并发hook成功");
	return STATUS_SUCCESS;
}
qq_857305819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
32位下如何HOOK高并发函数
SharenFish的博客
11-30 265
#include<NTDDK.H> /********************************************************************* ****** “多核环境下,如何保证对一个高并发的内核函数进行HOOK而不会出错?” ****** **********************************************************************/ LONG AddressOfSwapContext = 0x8
常用hook
m0_74331185的博客
03-21 965
Hook是 React 16.8 的新增特性。它可以让你在不编写 class 的情况下使用 state 以及其他的 React 特性。理解:hook是react提供的函数API。
hooks的基本用法
爱coding的小蕾蕾
05-25 9471
常用的hooks有以下几种 1.useState(state,setState) 示例:点击按钮,使得按钮的文案由"点击前"变为“点击后”。 函数组件不需要构造函数,可以通过调用useState来初始化 state 传统的写法: import React, { Component } from "react"; export default class Button extends Component { constructor() { super(); ..
frida的hook代码:在python中格式,以及常用hook方法
最新发布
u011863822的博客
11-29 2173
简单的聊了一些frida在python中使用的格式: Java.perform(),以及Java.use或者Java.choose ,还有对重载方法的调用。
安卓逆向——Xposed插件常用HOOK方法
含笑
08-23 9008
1. hook 普通静态方法 jadx 反编译分析查看代码,找到需要hook的类和方法 Xposed 插件的写法 // 判断 当前的 启动的模板程序是否是 需要hook的 应用,这里要知道 应用的报名 // 如果不判断指定 报名 启动 插件的话,打开所有的应用都会 启动插件,就会保存,其他的应用 不一定用这个指定方法 if(loadPackageParam.packageName.equals("com.qianyu.helloworld")) { ..
Android下hook点击事件的示例
08-27
本示例主要讲解如何在Android环境下hook点击事件,以便实现例如统计埋点等需求,减少对原有业务代码的侵入。 首先,我们需要创建一个代理类`OnClickListenerProxy`来实现`View.OnClickListener`接口。这个代理类的...
QT下 hook自定义API
04-11
QT下hook自定义API是一种技术,它允许程序员在不修改原始代码的情况下,拦截并修改特定API函数的行为。这种技术在软件测试、调试、性能分析以及功能扩展等方面具有广泛应用。本篇将详细介绍如何在QT环境下利用detour...
Windows下利用HOOK和进程挂起实现的桌面锁屏
01-20
在本例中,我们可能会设置一个键盘HOOK,以在用户按下特定键(如"Win+L")时触发锁屏功能。 其次,是“进程挂起”。在Windows中,挂起进程意味着暂停其执行,使其不再占用CPU资源。当我们想要锁定桌面时,可以挂起...
objecthook_objecthook_
09-30
在Python编程中,`objecthook`是一个非常关键的概念,特别是在序列化和反序列化操作中。这个概念主要与`json`模块相关,因为当我们使用`json`进行数据转换时,`objecthook`允许我们自定义如何将JSON对象转化为Python...
Windows miniHook hookapi demo
09-14
总结,"Windows miniHook hookapi demo" 提供了一个使用MiniHook库实现Win32钩子的实例,通过这个项目,开发者可以学习到如何在用户模式下设置和管理钩子,以及如何处理钩子事件。了解和掌握这些技能有助于进行系统...
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 1640
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
8种HOOK技术
liuhaidon1992的博客
01-07 5372
1.IAT_HOOK IAT是程序中存储导入函数地址的数据结构,如果HOOK了导入函数地址。就可以在函数调用的时候,将函数流程HOOK到我们指定的流程。但是我个人觉得这种方式最好要结合DLL注入的方式,如果单纯的使用HOOK,那么就需要将需要执行的操作的shellcode写入目标进程,如果操作复杂,可能需要的shellcode量特别大,所以我们需要借助DLL注入,这样就将我们需要执行的代码写入...
java高并发hook实例(防止重复启动程序)
The Secret
10-07 812
package com.test.testThread; import java.io.File; import java.io.IOException; import java.nio.file.Path; import java.nio.file.Paths; import java.util.concurrent.TimeUnit; public class TestThread { ...
并发编程——Hook线程
u014112521的专栏
01-29 1157
Hook线程介绍,创建,实例,应用
Hook 规则以及自定义Hook
泊一的博客
12-04 1471
文章目录Hook规则只在最顶层使用 Hook只在 React 函数中调用 Hook自定义Hook Hook规则 只在最顶层使用 Hook 不要在循环,条件或嵌套函数中调用 Hook, 确保总是在你的 React 函数的最顶层调用他们。遵守这条规则,你就能确保 Hook 在每一次渲染中都按照同样的顺序被调用。这让 React 能够在多次的 useState 和 useEffect 调用之间保持 hook 状态的正确 只在 React 函数中调用 Hook 不要在普通的 JavaScript 函数中调用
react hook(基础详解)
qq_43001049的博客
03-15 2704
首先我们知道Hook是可以100%向下兼容的,就是说即便在你以前的代码中加入hook写法也没有问题,同时提供了一个更直接的API包括props, state,context,refs以及生命周期,hook编写时使用的代码量也会更少,但这也是一个过渡,hook的使用去掉了class的概念,虽然以前的写法依旧可行,但新增hook的同时官方也表示没有计划移除class,这对程序员来说是很友好的,但react更推荐用户使用hook来编写代码 首先我们看一下state在传统和hook中的使用方式区别 首先演示.
js中的钩子机制(hook)
热门推荐
wang839305939的博客
06-20 1万+
什么是钩子机制?使用钩子机制有什么好处? 钩子机制也叫hook机制,或者你可以把它理解成一种匹配机制,就是我们在代码中设置一些钩子,然后程序执行时自动去匹配这些钩子;这样做的好处就是提高了程序的执行效率,减少了if else 的使用同事优化代码结构。由于js是单线程的编程语言,所以程序的运行效率在前端开发是比较重要的,在开发中我们秉承如果能用switch case 的地方就不要用if else
写一个demo,hook写法
05-25
以下是一个简单的 demo,演示了如何使用 Hook 来修改函数的行为,具体来说,这个 demo 实现了一个简单的加法器,但是在加法器计算结束后会输出一段字符串 "Hooked!",以示我们成功地使用了 Hook 修改了函数的行为。 ```c++ #include <iostream> #include <Windows.h> // 原始的加法函数 int add(int a, int b) { return a + b; } // Hook 后的加法函数 int hooked_add(int a, int b) { int result = add(a, b); std::cout << "Hooked!" << std::endl; return result; } int main() { // Hook 前调用原始的加法函数 std::cout << add(1, 2) << std::endl; // Hook DWORD old_protect; VirtualProtect((LPVOID)add, sizeof(add), PAGE_EXECUTE_READWRITE, &old_protect); *(uintptr_t*)add = (uintptr_t)hooked_add; // Hook 后调用加法函数 std::cout << add(1, 2) << std::endl; // 恢复原始函数 *(uintptr_t*)add = (uintptr_t)hooked_add; VirtualProtect((LPVOID)add, sizeof(add), old_protect, &old_protect); // 再次调用原始加法函数 std::cout << add(1, 2) << std::endl; return 0; } ``` 在这个 demo 中,我们首先定义了一个简单的加法函数 `add`。然后我们实现了一个新的函数 `hooked_add`,它会在计算结束后输出一段字符串。 接着,我们使用 `VirtualProtect` 函数将 `add` 函数所在的内存页标记为可写,以便我们修改它。然后,我们将 `add` 函数的地址转换为 `uintptr_t` 类型的指针,并将这个指针的值修改为 `hooked_add` 函数的地址,实现了 Hook。 最后,我们再次将 `add` 函数的地址修改回原始的地址,并将内存页恢复为原始的保护级别。这样,我们就成功地完成了 Hook 的过程,并且在 Hook 后的加法函数计算结束后输出了一段字符串。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值