InlineHook 通用

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量777 收藏
点赞数
分类专栏: 底层 
NTSTATUS
InlineHookFuncXP (
  IN PVOID FuncAddress,
  IN PVOID NewFuncAddress
  )
/*++
Author : MJ0011
User   : sudami [xiao_rui_119@163.com]
Time   : 08/01/24          
参数 :
  FuncAddress - [IN] 原函数
  NewFuncAddress - [IN] inline hook 函数          
返回 : 
  STATUS_SUCCESS - inline hook 成功
  STATUS_UNSUCCESSFUL - 失败             
功能 : 
  在普通函数的开头处简单实现inline hook.XP以上版本适用
  btw -- 在新函数执行完后需要跳转到原函数地址 + 2处
    直线上的这5字节内容,是在大部分函数头前面.都是nop.这刚好可以
  放5字节的跳转: JMP XXXX
    |ˉˉˉ| --> 0xe9 (JMP)    
    |ˉˉˉ|    
    |ˉˉˉ|
    |ˉˉˉ|
    |ˉˉˉ| 这4字节存放新函数的地址
ˉˉ |ˉˉˉ|ˉˉ--> 符合inline hook 条件的函数的前5字节一般都是---
    |ˉˉˉ|                                                     |
                                           ↓ˉˉˉˉ                
                                              8bff   mov     edi,edi
   故只需要把8bff这2字节换成一个短转移   <--  55     push    ebp
   "ebf9" 便会跳转到 FuncAddress -5 处   <--  8bec   mov     ebp,esp        

               <简单inline hook示意图>
--*/
{
    KSPIN_LOCK SDTSpinLock;
    KIRQL      oldIrql;
    NTSTATUS   state;
    
    KeAcquireSpinLock (&SDTSpinLock, &oldIrql);
    
    WPOFF();

    __asm {
        push eax
        push ecx
        lea eax,[FuncAddress]
        mov eax,[eax]//注意参数是指向地址的指针
        /* 这几句是判断原函数是否符合这种简单inline hook的条件 */
        cmp byte ptr[eax],0x8b      
        jnz failtohook
        cmp byte ptr[eax+1],0xff  
        jnz failtohook   
        mov ecx,0xffffffff

loopcheck:
        /* 这个循环确保函数头的上面5字节为nop;不是则hook失败 */
        cmp byte ptr[eax+ecx],0x90
        jnz failtohook
        dec ecx
        cmp ecx,0xfffffffa
        jnz loopcheck
        
        /* write the new function header:jmp short funcaddr-5(0x00-0x07) */
        mov byte ptr[eax],0xeb
        mov byte ptr[eax+1],0xf9
        
        /* write 1 byte : jmp xxxx */
        mov byte ptr[eax-5],0xe9

        /* write 4 byte : x xxxx */
        mov ecx,[NewFuncAddress]
        sub ecx,eax
        mov dword ptr[eax-4],ecx
        jmp hookok

failtohook:
        mov stat,0xc0000001
        jmp end

hookok:
        mov stat,0
end:
        pop ecx
        pop eax
    }

    WPON();
    KeReleaseSpinLock (&SDTSpinLock, OldIrql);
    
    return state;
}

whitesilt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python钩子函数
既然选择远方,便只顾风雨兼程!
08-10 4056
hook,又称钩子,在C/C++中一般叫做回调函数。钩子是从功能角度描述这种编程模式,回调则是从函数调用时间角度描述的。通常理解的hook是在一个已有的方法上加入一些钩子,使得在该方法执行前或执行后另在做一些额外的处理。如我们熟知的windows系统消息响应事件,鼠标点击对程序产生的影响是有程序自己决定的,但是程序的执行是受制于框架(windows系统),框架提供了一些通用的流程执行,但是往往框架或流程在设计时无法完全预料到以后的使用会有什么新需求,或者有些行为只有在运行时才能确定的。...
使用内核三步实现InlineHook的详细分析
07-06
且这种深层次的inlineHook不具有通用性。稳定性也是问题。本文讨论的是具有通用性的两类inlineHook的实现.   Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的...
Inline HOOK
Tandy12356_的博客
05-28 3976
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
Inline Hook 钩子编写技巧
CSDN
10-17 1万+
有时候我们需要自定义Hook对象,这时候我们就可以使用本方法,直接在最后写上我们需要Hook的地址即可。Inline Hook 钩子编写技巧
Hook攻防之InlineHook
最新发布
xf555er的博客
06-16 1585
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
inlinehook 看这一篇
01-09 3874
inlinehook 代码实战
Vb6 InLineHook(通用版)
03-11
【标题】"Vb6 InLineHook(通用版)" 描述了这是一个使用Visual Basic 6(Vb6)开发的API钩子实现,名为InLineHook,它具有跨平台兼容性,支持Windows XP、Windows 7、Server 2003以及Windows 2000操作系统。...
详谈内核的Inline_Hook实现
11-08
Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline 的时候做的很深,来躲避inline 的检测,前提是...
精选_实现32位和64位系统的Inline Hook API_源码打包
03-09
Inline Hook API 是一种在软件开发中用于拦截和修改程序行为的技术。它主要通过在目标函数的入口处插入自定义代码(通常称为钩子)来实现。这种方法允许开发者在不修改原始函数代码的情况下,动态地改变函数的行为。...
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
06-26
本示例着重讲解如何实现一个通用Hook机制,能够理论上Hook任意地址并获取寄存器数据。我们将主要探讨两个关键库:Detours库以及Hook的基本原理。 首先,我们要理解什么是Hook。简单来说,Hook就是在程序执行过程...
APIHookInlineHook库,使用C++11编写,可将回调函数绑定到类成员函数
11-29
APIHookInlineHook库,使用C++11编写,可将回调函数绑定到类成员函数。代码风格良好,适合学习。
内存注入(IAT HookInline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
一个简单的inline hook
07-27
入门级Inline Hook代码,原理很清晰。适合新手阅读
Android Natvie Hook讲解、 got表hookinline hook 原理
spinchao的博客
12-06 5586
Android Natvie Hook 讲解什么是Hook,以及Android Native层 hook名词解释以及知识储备处理器架构欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是
Inline Hook基础篇】框架搭建
Fzuim的博客
07-31 1462
Windows程序员对于HOOK技术应该都很熟悉,HOOK俗称:钩子。即将自己想实现的功能,挂钩到系统的函数上,达到调用系统的函数时能自动执行我们实现的功能。 对于HOOK,也分为:消息钩子,API钩子,内核钩子。消息钩子和API钩子都是在应用层(Ring3)上实现,内核钩子则是在内核层(Ring0)上实现的。此次开篇,逐重讨论下Inline Hook的实现方式,Inline Hook也是AP...
通用Inline Hook代码
04-30 1795
#include "inlinehook.h"typedef struct _INLINE_HOOK_ITEM{    PBYTE    HookAddress;        //inlinehook 的位置    DWORD    OrgBytesSize;        //    //PBYTE    OrgBytes;            //原始函数字节    PBYTE    Ho
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
inline hook
04-29
Inline hook是一种常见的hook技术,它是指在程序运行时通过修改程序代码的方式来实现hook的目的。具体来说,当程序执行到某个函数时,inline hook会将原来的函数代码替换成hook函数的代码,从而实现对原函数的拦截和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值