游戏逆向-2.1几种基础的inline hook

Hook的中文含义就是钩子的意思,顾名思义可以想象成你想要获取某个应用程序中的某些数据就可以通过下Hook(钩子)拿到想要的数据,然后由你自己决定是否修改数据和是否拦截本次执行过程以达到修改应用程序执行流程的效果。

本章将讲述几种很常见的inline hook方法

1.Jmp跳转:

08020000 - E9 FB040000           - jmp 08020500
08020005 - 90                    - nop 

        此Hook方式将破坏五个字节,需要计算出call的偏移且仅限制在2G空间范围内跳转,超出2G空间后将触发异常导致目标进程崩溃等。

2.Jmp远跳:

08020000 - FF 25 FA040000        - jmp qword ptr [08020500]
//08020500 用来存放跳转到的地址

         此Hook方式将破坏六个字节,且仅限制在2G空间范围内跳转。

3.无限制跳转1:

08020000 - 48 B8 F2FF5FC58090FFFF - mov rax,FFFF9080C55FFFF2  //跳转地址赋给rax
0802000A - 50                     - push rax
0802000B - C3                     - ret 

        此Hook方式将破坏12个字节,优点在于寻址空间无限可以任意跳转,缺点也很明显破坏的字节过多,很难逃过安全系统的CRC扫描。

4.无限制跳转2:

08020000 - FF25 00000000 FFFF355155FFFFFF - jmp FFFFFF555135FFFF

        此Hook方式将破坏14个字节,优点和缺点都和无限制跳转1一样。

以上就是在R3层中X64框架应用程序常用的hook方式,X86框架的应用程序大同小异,这里就不再赘述,后面会在2.3章中更新每种Hook实战及代码演示。

下一章将向读者们介绍另一种Hook方式,也就是俗称的无痕Hook(硬件断点)。

  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

顾_念

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值