vs编译选项对hook的影响

已于 2022-04-14 22:04:55 修改
阅读量1.3k 收藏
点赞数
分类专栏: 逆向工程 文章标签: hook成员函数
于 2022-03-15 20:54:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012787710/article/details/123511974
版权

最近在写成员函数hook遇到内联汇编的一些问题

一些编译选项

一些选项会导致函数内插入一些汇编

自动插入的code导致寄存器值变化,从而无法还原

push ebp
mov ebp, esp
//插入的汇编
局部变量/你的汇编

C/C++

调试信息格式设置编辑并继续,插入如下代码
push ebx
push esi
push edi

程序数据库 (/Zi),插入如下代码
有一个局部变量时
push ecx 后再存储变量,使用这种方式创建一个堆栈空间

启用c++异常会插入如下代码

push offset __ehhandle
或者
push offset SEH_10001420

启用安全检查

/sdl /gs
mov eax, ___security_cookie

基本运行时检查设置非默认时

mov eax, 0CCCCCCCCh
rep stosd

RTC_CheckEsp

支持仅我的代码支持调试

call j_@__CheckForDebuggerJustMyCode

新方式

__declspec(naked) void HookProxy()
{
	_asm
	{
		//方式1这补全缺失的代码
		pushfd;
		pushad;
		call RealHook;
		popad;
		popfd;
		//方式2缺失的代码
		jmp jmpBackAddress;
	}
}

堆栈

如果指针函数比实际函数多个参数,堆栈将在调用后多一个参数
void __stdcall add(){}
typedef void(__stdcall* pfun)(int c);
pfun a = (pfun)add;

如果指针比实际函数少个参数,多次调用使堆栈减少导致奔溃
void __stdcall add(int c){}
typedef void(__stdcall* pfun)();
pfun a = (pfun)add;

hook时

注意保存寄存器环境
pushfd;
pushad;
call RealHook;
popad;
popfd;

完结

骇客之技术
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
react-webpack-template:使用webpack的react模板,有收集react,react-redux,redux,react-router,hook
04-04
使用 git克隆 cd目录名 纱 npm运行服务器 在终端中使用webpack 命令:npx webpack {入口文件}-输出{捆绑文件的目的地} {entry file}打包入口文件本例中的main.js {捆绑文件的目的地}出口文件的存放路径 通过配置文件使用webpack 命令:npx webpack自动读取webpack.config.js文件的配置 条目:入口文件路径 输出:出口文件路径和文件名 通过npm预设脚本启动 添加脚本脚本命令和对应的实际命令 start是特殊的脚本名称,其他自定义脚本需要使用npm run scriptname启动,start不用 devtool配置项 解决调试时因为打包依赖嵌套无法出错地方的问题 对应编译文件和源文件 杂凑 配置选项 source-map:行列映射 cheap-module-source-map:行映射 评估:评估,开发阶段使用
vs2010下hook_createprocess
12-26
VS2010开发。 在DLLMain中修改createprocess代码实现hook。 功能将创建的进程的可执行文件路径记入文件。
MFC Hook钩子例子 VS2015
04-10
VS2015下的钩子例子,大家凑合看吧,主要是可以抓取PostMessage信息
create-react-hook:LICLI可轻松创建可重复使用的React钩子
04-29
创建React钩 用于使用Rollup和create-react-app创建可重用React钩子的CLI。 受到令人惊叹的启发 特征 易于使用的CLI 处理所有现代JS功能 捆绑cjs和es模块格式 ,例如用法和本地开发 捆绑 支持复杂的对等关系 对TypeScript的可选支持 源图创建 安装 该软件包要求node >= 4 ,但我们建议node >= 8 。 npm install -g create-react-hook 创建一个新的钩子 create-react-hook 回答有关模块的一些基本提示,然后CLI将执行以下步骤: 复制模板 通过yarn或npm安装依赖项 将软件包链接在一起以进行本地开发 初始化本地git回购 发展 本地开发分为两个部分(理想情况下使用两个选项卡)。 首先,运行汇总来监视您的src/模块,并在进行更改时自动将其重新编译为dist/ 。
DriverMonitor - Windows驱动加载工具
01-03
一、编写Windows驱动程序 用VC6或其工具编写驱动程序,并用编译编译出XXX.sys文件。 二、编写操作这个驱动程序的应用程序 用VC6编写一个操作驱动程序的应用程序,并产生AAA.exe文件。 三、用DriverMonitor把XXX.sys加载上 打开DriverMonitor,选择File->Open Driver,找到XXX.sys打开。然后选择File->StartDriver 。这样就把驱动程序加载进去了,可以右击我的电脑,选择设备管理器,在菜单中选择查看,勾选显示隐藏设备。找到加载的驱动程序的名字。(如果看不到,可以重启下电脑,再次观看)。 四、启用驱动程序 在设备管理器中,双击XXX这个驱动,在“驱动程序”选项卡中,选择启动按钮。 五、启动IRPTrace软件(第一次开启时把提示信息全部取消和关闭),选择Messages菜单下的Hook Setup。勾选我们加载完毕的驱动程序的名字,然后在右边的窗口中把所有要产看的选项都选上。 六、执行自己编写的测试用的应用程序AAA.exe。这时在IRPTrace中就会出现应用程序对驱动程序发送的IRP包的情况。
Visual Studio关于hook项目的简单使用
Castlehe的博客
09-14 1729
参考 DLL注入_拦截技术之Hook方式: 可知 如果我想要使用hook的dll注入方式来获取其他程序的数据,则关键的对象有: 操作 启动程序和给dll传递程序线程id 的一个程序 对目标程序的消息进行处理的dll 目标程序.exe dll文件编写 操作dll文件和目标程序的 代码编写 新建项目 新建项目->找到 控制台应用(在Windows终端运行代码)->填写其他项目后,看到 将解决方案和项目放在同一目录中。 根据 终于理解了解决方案和项目之间的关系了可知:项目和解决方案的关系是:
vs2010全局hook挂钩子获取鼠标当前位置,纯干货
01-06
vs2010全局hook挂钩子获取鼠标当前位置,纯干货,点击确定按钮后可以获取屏幕任意位置的坐标显示为自己窗口的标题
Window Hook 技术详解
cx1990820的专栏
08-20 8115
Hook简介 微软的MSDN中,对Hook的解释为: A hook is a point in the system message-handling mechanism where an application can install a subroutine to monitor the message traffic in the system and process certain
Vs2017工程,c# 钩子程序全局钩子
06-24
本程序是用Vs2017创建的一个c#实现钩子程序,全局钩子,可以监控键盘,鼠标等。本人亲测完全可以运行,代码清晰,高质量的代码,可以编译,请放心下载。
基于VS2008 写的 Win32 API HOOK 模板
06-30
支持WINDOWS 32位操作系统 非常方便,这个是个HOOK 的模板,你可以直接传递要HOOK的API 然后在定义一个处理过程就可以了 有一个例子 请自己查看!
vc++钩子程序HookAPI1.62.rar
10-12
1.52版更新内容: 1。HookAPI9x.dll删除了检查PTE的汇编语句,解决了RasDialA无法Hook的问题 2。InstHook.dll里先FreeLibrary HookAPI9x.dll再free mydll_9x.dll,解决HookAPI9x.dll中Unhook出错的问题。 1.5版主要是针对win9x下的错误修改的,修改内容为: 1。修正了win9x下总是出错的问题 2。win9x下的mydll文件名称改为了mydll_9x.dll 3。win9x下的mydll程序加了编译选项预定义WIN95,编写win9x下的mydll时请注意 1.6版本更新内容: 1。修改了win9x下TextOutA,TextOutW等函数的截获问题 [2003.04.12] 添加Hook/Unhook一个函数 添加Hook/Unhook一个Process [2003.04.16] 在winxp和win9x下测试hooksocket成功,版本升级为1.6c [2003.04.19] 修改了CHookAPI::UnhookOneAPI()里的针对多次hook的api的修改,只unhook一次 [2003.04.22] 修改了exe文件界面为英文,版本1.6d2 there is 2 bugs in version 1.62, one is on win9x, one is on win2000. If you want to fix it, you should buy support(email:[email protected])
www.formicidae-atlas.be:比利时蚂蚁在线地图集的源代码(http-Form source code
03-25
架构概述 这是一个由两个主要应用组成的Django项目: 安装,用于管理简单内容(静态文本,图像等... 因此,可以使用不同的选项重新编译Bootstrap以使其看起来更自定义: 必须安装Node.js。 然后可以使用NPM安装其他B
浅析VS2010反汇编 VS 反汇编方法及常用汇编指令介绍 VS2015使用技巧 调试-反汇编 查看C语言代码对应的汇编代码...
07-30 1802
浅析VS2010反汇编 2015年07月25日 21:53:11 阅读数:4374 第一篇 1. 如何进行反汇编 在调试的环境下,我们可以很方便地通过反汇编窗口查看程序生成的反汇编信息。如下图所示。 记得中断程序的运行,不然看不到反汇编的指令 看一个简单的程序及其生成的汇编指令 #include<stdio.h> ...
调试相关的知识和工具
byytj
09-09 461
这一部分主要介绍用户态调试相关的知识和工具。包括:汇 编、异常(exception)、内存布局、堆(heap)、栈(stack)、CRT(C Runtime)、handle/Criticalsection/thread context/windbg/ dump/live debug和Dr Watson等。 书中不会对知识点作全面的介绍,而是针对知识点在调试中过程中应该如何使用进行说明。...
运行时和编译时的安全性检查 /RTC
wangsifu2009的专栏
10-24 639
<br />RTC 表示运行时检查。RTC 有若干子选项。与 /GS 不同,/RTC 设计用于调试版本,而不用于优化代码。与 /GS 相同的是,如果您不喜欢默认对话框,可以编写自己的处理程序。<br />使用 Microsoft® Visual Studio® 调试应用程序时,RTC 对话框可以为您提供在错误发生之处调试应用程序的选项。此外,还可以在 Visual Studio 中创建若干个配置,每个配置都包含各种选项的不同组合,例如,对发布版本使用 /GS 选项,而对调试版本使用一个或多个 /RTC 选项
C++反汇编揭秘2 – VC编译器的运行时错误检查(RTC) - [C/C++]
杨德龙的专栏
06-28 1104
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明http://joshuafan.blogbus.com/logs/10066729.htmlhttp://blog.csdn.net/atfield/archive/2007/04/08/1556844.aspx 我在上篇文章举了一个简单的C++程序非常简略的解释C++代码和汇编代码的对应关系,在后面的文章中我将
HOOK实例之一:实现键盘钩子截获密码等键盘输入(vs2013详细流程)
热门推荐
Childe_Mu的博客
01-29 1万+
最近因业务需求,做一款银行安全控件,其中需要用到HOOK,网上查了很多资料,但是很多demo经过测试都用不了(可能是个人技术水平等原因),百般曲折之后,了解HOOK的皮毛,所以决定分享出来,希望可以帮到其他萌新。 1.创建一个MFC应用程序解决方案——KeyboardHook(用MFC是因为MFC有页面,更直观),中间选应用程序类型选基于对话框,其他一直下一步,最后点击完成。
node-v9.6.0-x86.msi
最新发布
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
包含__malloc_hook 的C++代码在linux上需要怎么编译
05-24
如果你的代码中包含了__malloc_hook,那么需要在编译时链接 glibc 库并指定编译选项 -ldl。具体步骤如下: 1. 编写代码并保存为 example.cpp: ```c++ #include <stdio.h> #include <malloc.h> void* my_malloc(size_t size) { printf("my_malloc called, size=%lu\n", size); return malloc(size); } int main() { __malloc_hook = my_malloc; int* p = (int*)malloc(sizeof(int)); printf("p = %p\n", p); free(p); return 0; } ``` 2. 使用 g++ 编译代码: ```bash g++ example.cpp -ldl ``` 在编译时需要链接 glibc 库并指定编译选项 -ldl。 3. 运行编译后的可执行文件: ```bash ./a.out ``` 输出结果为: ``` my_malloc called, size=4 p = 0x5637d5a5c260 ``` 可以看到,程序成功调用了自定义的 my_malloc 函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骇客之技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值