如何hook那些在IDA中显示为sub_xxx的函数

最新推荐文章于 2022-01-15 09:22:50 发布
最新推荐文章于 2022-01-15 09:22:50 发布
阅读量1.1k 收藏 1
点赞数
原文链接:http://www.cnblogs.com/dependence/p/4466418.html
版权

唉,说起来这就是一个坑,Cydia Substrate在其文档中也没找到详细说明,最后也只能来看看代码曾半仙最早给的那份substrate-master源码,然后一切就了然于胸了,这个坑很大,很大!!!
现在我们先来看下MSHookFunction怎么Hook IDA中的sub_xxxx函数,然后再来谈谈为啥是这样的。

就以这段代码为例吧,下断点红色选中部分,中的sub_17C94就是我想要Hook的函数,首先确认了下参数个数为2个。
以下给出代码片段截图:

看到这里我想很多人有点不理解,为啥需要 | 0x00000001,别急,下面我就借花献佛,慢慢道来也。
既然源头是出现在MSHookFunction上,那们我们就去阅读下这块的代码:

从这2 段代码中可以很明显的看到在SubstrateHookFunction中,看到这么一句
if ((reinterpret_cast(symbol) & 0x1) == 0)
也就是说,MSHookFunction在判断Hook函数的时候,是通过在传到进来函数地址的奇偶数来判断是ARM指令的函数,还是Thumb指令的函数。
这个坑好大,我勒个去啊!!!
别急,接下来看这句
reinterpret_cast(reinterpret_cast(symbol) & ~0x1)
判断完后,为了能正确Hook地址,又改回原来的地址了,这下变清楚了吧。
再者,从MSFindSymbol函数中也能清楚的看到**value |= 0x00000001**这句!!!

转载于:https://www.cnblogs.com/dependence/p/4466418.html

weixin_30750335
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
frida 实战_[原创]【Frida 实战】如何拦截 sub_xxxx 这种函数
weixin_42400619的博客
01-26 1887
IDA 里看到的 sub_xxxx 这种类型的函数是因为没有符号,所以 IDA 解析时就显示 sub_xxxx,其 xxxx 是 IDA 读取到的函数地址。在第二篇教程,我们初步学习了拦截器(Interceptor)的使用,知道了怎么拦截函数,但是如果是自定义函数,去掉符号信息可能就没有名称,我们该怎么拦截呢?下面我们来实际操作,自定义一个静态函数,名称是 add,功能就是将第一个参数和第...
hook之subhook使用2
yldfree的博客
06-27 2097
subhook源码下载地址 https://github.com/Zeex/subhook//对系统函数open进行拦截#include <stdio.h>#include <sys/types.h>#include <sys/stat.h>#include <fcntl.h>#include "subhook.h"subhook_t foo_hoo...
iOS HookIDA显示sub_xxx函数
glt_code的博客
10-26 7567
基础 1. Mach-O文件组成部分 Header、Load commands、Raw segment date(常见的一些段__PAGEZERO空指针陷阱段、_TEXT程序代码段、__DATA程序数据段、__LINKEDIT:链接器使用段等); 2. Mach-O文件的加载 dyld Mach-O文件被dyld进行加载的;dyld(the dynamic link editor)是 Ap...
hook之subhook使用1
yldfree的博客
06-27 2450
subhook git地址 https://github.com/Zeex/subhook//下面对open函数进行拦截#include <sys/stat.h>#include <fcntl.h>#include "subhook.h"subhook_t foo_hook;//此函数将替换系统的open函数int my_open(const char *pathname...
IDA使用之旅(三)实践使用IDA工具
chenyujing1234的专栏
04-27 9755
转载请标明是引用于 http://blog.csdn.net/chenyujing1234     使用IDA可以帮助我们模仿别人的功能如何实现,这对开发新的软件有很好的作用。 使用IDA也可以帮助我们验证我们的猜测是否是否确的。 1、在开发Gina想知道VWare使用的认证凭据怎么把Ctrl-Alt-Del界面去掉的,猜测是使用了SAS.dll的接口。为了验证我们使用
IDA工具各个功能总结
墨痕诉清风的博客
02-14 1万+
生成文件:保存后生成的文件 id0:二叉树数据库 id1:文件包含描述每个程序字节的标记 nam:包含IDA NAME窗口的数据库 til:本地数据库有关信息   导航带颜色   常用菜单 ESC键:后退键(避免在窗口标题栏使用,退出窗口)   绿色箭头为YES,红色箭头为NO,蓝色箭头为下一个立即执行的块,拖动线可以改变连接路径。恢复源图形,右键鼠标菜单,点击布局图表。...
Drupalhook_theme函数用法
09-28
`hook_theme()` 函数是模块(Module)或主题(Theme)定义的一个函数,它的名称遵循 Drupal 钩子命名规则:`hook` 前缀加上 `_theme` 后缀。例如,在模块 `modulename` ,你需要定义一个名为 `modulename_theme...
HOOKAPI.rar_API函数_asm hook_hook_hook api
09-20
在这个名为"HOOKAPI.rar"的压缩包,很可能包含了一系列用于实现ASM HOOK的源代码、示例、文档或库文件。 API(应用程序编程接口)是操作系统或其他软件提供给开发者用于交互的接口,如Windows API、Linux API等。...
drupal之hook_link和hook_link_alter钩子函数解析
09-28
主要为大家介绍了drupalhook_link和hook_link_alter钩子函数,实例分析了钩子函数的具体用法,具有一定的参考借鉴价值,需要的朋友可以参考下
c++钩子函数:copy hook_linux函数hook
12-27
总结来说,"c++钩子函数:copy hook_linux函数hook"是一个C++项目,它在Linux环境下实现了文件复制操作的监控和控制,可能通过内核模块、用户空间钩子或两者结合的方式。项目使用了ATL库来创建COM接口,并提供了类型...
drupal创建hook_user并调用drupal的mail函数发送email实例
09-28
主要为大家介绍了drupal创建hook_user并调用drupal的mail函数发送email实现方法,涉及hook函数的用法及mail函数的调用方法,需要的朋友可以参考下
IDA-hook so层方法与java层之间的映射关键
chinaherolts2008的博客
01-15 253
第一步 1.首先用ida打开python教程so文件 第二步 第三步
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 7763
属于到处收集的资料和工作碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
IDA使用
Starr
08-24 2639
文章目录0x00. 配置0x01. 主窗口跳转交叉参考0x02. 操作注释修改api帮助重命名标签FLIRT0x03. 数据识别格式化指令操作数指令数据转换字符串数组结构体嵌套结构体union枚举类型位成员变量0x04. 脚本和插件输出导入表SMC0x05. 调试 ida按照区块加载PE。 打开时生成4个文件: .id0,二叉树形式数据库 .id1,每个程序字节的标记 .nam,与ida的nam...
游戏逆向的前期准备
Coder
03-03 1332
工具 IDA pro 这个就不解释了,至于为什么不用Hopper,后面会看到需要IDA来执行python脚本,给函数绑定符号 ida pro的牛逼插件keypatch 用于修改汇编代码 https://github.com/keystone-engine/keypatch Il2CppDumper Unity转换成IL2CPP的符号表提取工具,但是只能在Windows运行。 https://g...
对某app通信协议加密字段的一次分析(IDA Pro动态调试、Frida、xposed Hook)
iris的博客
10-20 1616
在对某app抓包的过程发现请求报文里有密文字段,想知道下密文传输了什么信息: 如上图所示,请求报文里协议的key为plaintext,但是value值却被加密,逆向分析一下。 首先,用apk改之理打开apk搜索key值: 很容易搜索到了,接着查看其java代码: 同时发现apk做了混淆保护。 如上图,最终str3也就是plaintext作为key,advara作为value放到了hash...
IDA逆向技巧(持续更新)
热门推荐
生命不息 折腾不止
09-02 2万+
读者如果发现错误,请指正。 IDA的逆向分析水平就是一个逆向工程师的水平;7.1 IDA与OD的联合使用 一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。 需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA查找代码位置,具体方式如下: Edit ---> Segment ----- Rebase Program : 设置基地址; 在WINdbg基地址...
SSDTHook的原理
谢绝留言与私信
02-08 823
前言分析了一个cm, cm释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看SSDTHook时, 先复习一下SSDT原理, 用Windbg做下试验.记录 /** // SSDT的原理 // 假设要Hook ZwQu
IDA静态编译之sub
weixin_30372371的博客
07-16 764
int __thiscall sub_10009800(const wchar_t *this, int a2, int a3, HKEY hKey){ } 说明:__thiscall dll内子函数 const wchar_t *this 类的对象函数 【转】 在使用IDA使用之前,一定要分析出对象是用什么语言来编写的,然后可以用IDA的签名,将大大增加可读...
malloc_hook函数定义
最新发布
03-03
malloc_hook函数是一个在C语言用于内存分配的钩子函数。它是GNU C库(glibc)提供的一个特性,用于在程序拦截和修改内存分配函数malloc的行为。 malloc_hook函数的定义如下: ```c void *(*__malloc_hook)(size...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值