Hook的中文含义就是钩子的意思,顾名思义可以想象成你想要获取某个应用程序中的某些数据就可以通过下Hook(钩子)拿到想要的数据,然后由你自己决定是否修改数据和是否拦截本次执行过程以达到修改应用程序执行流程的效果。
本章将讲述几种很常见的inline hook方法
1.Jmp跳转:
08020000 - E9 FB040000 - jmp 08020500
08020005 - 90 - nop
此Hook方式将破坏五个字节,需要计算出call的偏移且仅限制在2G空间范围内跳转,超出2G空间后将触发异常导致目标进程崩溃等。
2.Jmp远跳:
08020000 - FF 25 FA040000 - jmp qword ptr [08020500]
//08020500 用来存放跳转到的地址
此Hook方式将破坏六个字节,且仅限制在2G空间范围内跳转。
3.无限制跳转1:
08020000 - 48 B8 F2FF5FC58090FFFF - mov rax,FFFF9080C55FFFF2 //跳转地址赋给rax
0802000A - 50 - push rax
0802000B - C3 - ret
此Hook方式将破坏12个字节,优点在于寻址空间无限可以任意跳转,缺点也很明显破坏的字节过多,很难逃过安全系统的CRC扫描。
4.无限制跳转2:
08020000 - FF25 00000000 FFFF355155FFFFFF - jmp FFFFFF555135FFFF
此Hook方式将破坏14个字节,优点和缺点都和无限制跳转1一样。
以上就是在R3层中X64框架应用程序常用的hook方式,X86框架的应用程序大同小异,这里就不再赘述,后面会在2.3章中更新每种Hook实战及代码演示。
下一章将向读者们介绍另一种Hook方式,也就是俗称的无痕Hook(硬件断点)。