使用原子操作进行hook

最新推荐文章于 2024-07-31 22:42:28 发布
最新推荐文章于 2024-07-31 22:42:28 发布
阅读量368 收藏
点赞数 1
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiongya8888/article/details/84074008
版权

什么是原子操作

资源原本的值是A,现在将资源的值修改为B,在这个过程中,其他线程访问该资源时,获取的值要么是A,要么是B,不会有中间值出现。

需求

最近在写一个程序的时候,需要hook其他进程代码(64位进程),对稳定性要求很高,另外为了提高隐蔽性,打算用WriteProcessMemory写入shellcode,这样不用注入dll。

hook方式的选择

inline hook和IAT hook都能满足我的要求,但是inline hook肯定不是原子操作,所以有一定机率造成其他进程崩溃。
那么IAT hook是否是原子操作呢,WriteProcessMemory最终会调用ntoskrnlNtWriteVirtualMemory函数,该函数又会调用KeStackAttachProcess附加到目标进程,然后调用memmove修改内存。
memmove在内存地址为8字节对齐的情况下,会用mov指令修改内存,恰好导入表函数地址一般情况都是8字节对齐的,而根据Intel手册,这就是一个原子操作。

原子级内存操作

  • 一个字节的读写
  • 对齐到16位边界的字的读写
  • 对齐到32位边界的双字的读写
  • 对齐到64位边界的四字的读写
  • 未缓存且在32位数据总线范围之内的内存地址的访问
  • 对单个cache line中缓存地址的未对齐的16/32/64位访问
土豆吞噬者
关注
专栏目录
Hook Windows API
03-14
当我们需要在这些API函数被调用时执行自定义代码,例如进行日志记录、性能优化或者安全防护,就可以使用Hook技术。 Hook Windows API的核心思想是替换目标API函数的入口点,通常通过修改函数调用前5个字节(对于...
原子操作
热门推荐
justkong的博客
08-12 4万+
1、原子操作 原子操作(atomic operation)指的是由多步操作组成的一个操作。如果该操作不能原子地执行,则要么执行完所有步骤,要么一步也不执行,不可能只执行所有步骤的一个子集。 现代操作系统中,一般都提供了原子操作来实现一些同步操作,所谓原子操作,也就是一个独立而不可分割的操作。在单核环境中,一般的意义下原子操作中线程不会被切换,线程切换要么在原子操作之前,要么在原子操作完成之后。...
原子操作介绍
最新发布
ygyglg的专栏
07-31 802
原子操作(atomic operation)是一种计算机操作,它在执行过程中是不可分割的,要么完全成功,要么完全失败。
什么是原子操作
zhuiyunzhugang的博客
08-21 1万+
一. 何谓"原子操作": 原子操作就是: 不可中断的一个或者一系列操作, 也就是不会被线程调度机制打断的操作, 运行期间不会有任何的上下文切换(context switch). 二. 为什么关注原子操作? 1. 如果确定某个操作是原子的, 就不用为了去保护这个操作而加上会耗费昂贵性能开销的锁. - (巧妙的利用原子操作和实现无锁编程) 2. 借助原子操作可以实现互斥锁(mutex). (linux中的mutex_lock_t) 3. 借助互斥锁, 可以实现让更多的操作变成原子操作. 三. 单核CPU的原..
C语言的原子操作
future_sky_word的博客
03-05 3384
原子操作是不可分割的,在执行完毕之前不会被任何其它任务或事件中断,可以视为最小的操作单元,是在执行的过程中、不会导致对数据的并发访问的、最小操作,因此称为原子操作。最简单的原子操作,就是交换一个寄存器和一个内存地址的值,原子操作,是实现锁机制的基础。mutex,spinlock等,在其底层都有一个关键的原子操作。在单线程中, 能够在单条指令中完成的操作都可以认为是" 原子操作",因为中断只能发生于指令之间;在多线程中,不能被其它进程(线程)打断的操作就叫原子操作
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
因此,开发者需要对Windows内核有深入的理解,并且遵循最佳实践,如使用原子操作、正确处理异常等。 在实际应用中,内核Hook常用于系统审计、性能监控、恶意软件检测等领域。例如,安全研究人员可能会使用这种方法...
Ring3恢复HOOK FOR Delphi
02-23
因此,在Delphi应用程序中进行HOOK操作时,通常处于Ring3环境中。 #### 3. Delphi编程环境 Delphi是一种面向对象的快速应用开发(RAD)环境,广泛应用于Windows平台下的应用程序开发。它基于Pascal语言,并且提供...
SSDT Hook驱动代码
01-08
这可能需要使用诸如InterlockedCompareExchangePointer这样的原子操作来保证操作的原子性。 5. **编写Hook处理函数**:这个函数会在原系统服务调用前或后执行,可以进行日志记录、行为分析、拦截等操作。 6. **卸载...
详谈内核的Inline_Hook实现
11-08
3. **中断级别的提升**:为了防止在执行Hook函数过程中发生线程切换,通常会将中断级别提升到DPC级别,以此来确保操作的原子性和一致性。 #### Inline Hook应用场景 Inline Hook的应用场景主要分为两大类: 1. **...
并发与竞争(二)原子操作
似水流年
12-07 1169
原子操作中的“原子”指的是化学反应中的最小微粒。在Linux中用原子来形容一个操作或者一个函数是最小的执行单位,是不可以被打断的。所以原子操作指的是该操作在执行完之前不会被任何事物打断。原子操作一般用于整形变量或者位的保护。比如,定义一个变量a,如果程序A正在给变量a赋值,此时程序B也要来操作变量a,这时候就发生了并发与竞争。程序A的操作就有可能被程序B打断。如果我们使用原子操作对变量a进行保护,就可以避免这种问题。Linux中定义了一个叫做和的结构体来描述原子变量,其中是用于32位系统,是用于64位系统。
C++11之原子操作原理与使用(一百二十)
Android系统攻城狮
06-07 4676
【1】单个CPU的情况【1】有两个线程,线程thread1对变量aa读操作,线程thread2对变量中写值。 【2】在线程thread1里,对aa读操作,放入tmp变量中,以后使用 【3】在线程thread2里,对aa写操作 结果:原本是想读出来aa = 5的值,结果可能读出来是已经修改的值100,不是自己想要的脏数据,所以对变量读写要保持其原子性----->即:执行中不可被打断。原子操作: 可以把原子操作理解为:不需要用到互斥量加锁(无锁)技术的多线程编程方式,多线程中不会被打断的程序执行片段
C++并发编程 -4.原子操作和内存模型
qq_45604814的博客
03-01 2177
原子操作是一类不可分割的操作,当这样操作在任意线程中进行一半的时候,你是不能查看的;它的状态要不就是完成,要不就是未完成。如果从对象中读取一个值的操作是原子的,并且对对象的所有修改也都是原子的话,那么加载操作要不就会检索对象初始化的值,要不就将值存在某一次修改中。说白了原子操作就是不可中断的操作,要么被执行要不不被执行。
原子操作的原理和本质
曹太强的专栏
09-21 1354
本文重点: 概念:原子操作 内容:原子操作的本质和实现 基本概念: 分解概念:涉及的知识点 1、 并行和并发 2、 如何保证操作的原子性 3、 cache一致性 4、 原子操作的实现-软件 5、 原子操作的实现-硬件 详细解释: 1、 并行和并发 原子(atomic):是“不能被进一步分割的最小粒子”,而原子操作(atomic operation)意为“不可被中断的一个或一系列操作”。 并发:单核cpu上,当多个线程在在操作时,把cpu运行时间划分为若干时间段,再将时间段分配给各个线程执行,在一个时间
六、原子操作CAS
洛阳城下逢公子
10-11 437
一、什么是原子操作?如何实现原子操作? CAS:Compare And Swap,比较并且交换。隶属于乐观锁机制。 什么是原子操作? 假设现在有A,B两个操作,如果某个线程执行A操作,当另外一个线程执行B操作的时候,要么这个B全部执行完,要么这个B完全不执行,那么对于A、B来讲,他们彼此就是原子的。 在数据库层面,这种操作就是事务操作,严格意义上来说事务操作也是属于原子操作的一种。...
(16)[系统调用]追踪系统调用(3环)
qq_50332504的博客
07-24 722
简单地进行WriteProcessMemory进行追踪,看看这个函数到底是怎么样运作的,结果真是......
【002 基础知识】什么是原子操作
kashine的博客
06-12 389
不行。这种方法有几个问题:线程上下文切换。如果在一个线程正持有锁时,线程上下文发生切换,切换到另一个线程,那么这个另一个线程也可能通过if条件进入临界区,导致两个线程同时访问临界区。重入。如果一个线程需要重复访问临界区,需要加锁多次,这种方法实现不了。优雅抛出异常。如果在临界区发生异常,需要释放锁,这种方法没有提供释放锁的方式。扩展性差。如果后期需要支持多线程同时访问指定数量的资源,这种方法很难实现。所以,这种简单的自旋锁的实现并不可靠,不适用于生产环境。flag = 1;//3。
C++11原子操作
红军不怕远征难,万水千山只等闲
06-06 1636
C++原子操作提供了一种高效、安全的多线程数据访问方式,在性能和安全性方面具有显著优势。通过合理使用std::atomic类和内存序选项,开发者可以编写出高效、可靠的多线程程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值