关于看雪上那份inline hook代码的小问题

最新推荐文章于 2024-04-16 09:42:54 发布
原创 最新推荐文章于 2024-04-16 09:42:54 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #byte #system #api #null

在debug版本中,inline hook代码遇到堆栈平衡检查失败的问题,原因是detour函数在检查前未保存前一栈帧的ESI。通过在函数开始时保存并结束时恢复ESI,可以避免__RTC_CheckEsp时的错误,从而解决debug版本中的堆栈平衡破坏bug。

源代码见后文。

在debug版本中总是出现堆栈平衡检查通不过的情况~~单步跟了一下发现是在detour函数里检查堆栈平衡前没有保存前一栈帧的ESI,导致当前堆栈平衡检查完之后的ESI保存的是当前函数被调用前的ESP,和上一层调用者的ESP不一样,所以__RTC_CheckEsp的时候报错。

解决办法很简单,detour函数里调函数前保存一下ESI,完了之后再恢复,这样就不会在debug版本中报堆栈平衡被破坏的bug了:)

MyMessageBoxA函数里那两个条件编译~~


代码

#include <windows.h>
#include <iostream>
//using namespace std;

DWORD head;//保存API返回地址
int nRet;
BYTE orig_code[5] = {0x90, 0x90, 0x90, 0x90, 0x90};//存放原始的指令
BYTE hook_code[5] = {0xe9, 0, 0, 0, 0};//存放跳转到MyMessageBoxA的指令
BYTE jmp_org_code[5] = {0xe9, 0, 0, 0, 0};//存放跳转到原起始地址后5字节的指令

int MyMessageBoxA(
	HWND hWnd,          // handle to owner window
	LPCTSTR lpText,     // text in message box
	LPCTSTR lpCaption,  // message box title
	UINT uType          // message box style
	);
int MyMessageBoxAA(
	HWND hWnd,          // handle to owner window
	LPCTS
最低0.47元/天 解锁文章
精选资源
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,从而在不改变原有函数调用结构的情况下,动态改变函数的功能或行为。这种技术在系统监控、恶意软件分析、游戏修改以及性能优化等...
代码实例分析android中inline hook
08-28
Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段跳转指令,实现对应用程序的控制和修改。 本文将通过一个实例代码,详细介绍 Android 中的 Inline Hook 技术的实现过程。该实例代码包括四个...
的Rootkit HOOK专题
12-17
专题负责人:combojiang 首先要感谢看提供了这么好的学术交流氛围,其次要感谢北极星2003组 织的技术小组,让我有这样一个机会,在这里发表自己的一些心得,疑问, 与大家一同讨论进步。从08年1月8日开始作专题,到现在已经两个多月 的时间了。这些日子,通过专题交流,qq里多了不少朋友,虽然作专题比 较辛苦,占用了一些业余的时间,也没有物质收益,但是看到众多网友的热 心跟贴鼓励,心里还是有说不出的畅快。 rootkit这个专题,在做的过程中我也在不断的调整,这个题目很大,也很 有意思。有很多时候需要花费不少时间从别人的软件那里逆向吸取一些东 西。由于本人能力有限,时间也有限,因此这个专题我想持续差不多一年的 时间,来逐步的把它做好。题目较大,也欢迎大家一起参与进来,共同交流, 一起钻研。 作专题的这段日子,只要一有时间便到看这里来看帖子,跟贴子。同网友 交流,自己收获也很大。最后在这里要感谢一下所有对rootkit感兴趣,前 来顶贴,看贴的朋友,期待后面的日子,与大家一同扬帆前行。
从看的一个沙箱代码中扣出的InlineHook代码
11-11 218
Inlin_Hook.h: 1 #pragma once 2 3 #define __malloc(_s) VirtualAlloc(NULL, _s, MEM_COMMIT, PAGE_EXECUTE_READWRITE) 4 #define __free(_p) VirtualFree(_p, 0, MEM_RELEASE) 5 #def...
inline hook 多核安全相关问题随记。。。
创造神话,实现梦想!
02-18 2946
Intel CPU相关指令: LOCK 这是一个指令前缀,在所对应的指令操作期间使此指令的目标操作数指定的存储区域锁定,以得到保护。 XADD 先交换两个操作数的值,再进行算术加法操作。多处理器安全,在80486及以上CPU中支持。 CMPXCHG 比较交换指令,第一操作数先和AL/AX/EAX比较,如果相等ZF置1,第二操作数赋给第一操作数,否则ZF清0,第一操作数赋给AL/AX/E
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
C++成员函数的HOOK
深度技术安全
03-22 3926
今天HOOK D3D9中的SetMaterial发现出现堆栈失衡现象,后来研究发现是因为,对于如下的调用:HRESULT _stdcall SetMaterial(D3DMATERIAL9 *pMaterial);D3DMATERIAL9 mtrl;  ::ZeroMemory( &mtrl, sizeof(D3DMATERIAL9) );  mtrl.Diffuse.r = mtrl.Ambient.r = 1.0f;  mtrl.Diffuse.g = mtrl.Ambient.g = 1.0f;  m
精选资源
Windows Inline Hook代码实现细节
04-18
在Windows平台上,最常见的Inline Hook技术是修改函数的前几个字节以插入一条跳转指令,如`jmp`或`call`。在本例中,我们将在`add`函数的入口处插入这样的代码,使其在执行时跳转到我们的钩子函数。 接下来,我们...
HOOK技术之InLineHOOK代码
09-02
- **兼容性问题**:不同的处理器架构可能有不同的指令集,因此在不同平台上实现inline HOOK需要考虑指令兼容性。 - **代码重定位**:当目标函数位于可重定位的代码段时,插入的新代码可能导致内存对齐问题,需要...
【亲测免费】 探秘And64InlineHook:Android平台的高效、轻量级钩子库
最新发布
gitblog_00020的博客
04-16 682
探秘And64InlineHook:Android平台的高效、轻量级钩子库 是一个专为Android平台设计的64位内联钩子库,由开发者rrrfff创建并维护。该项目旨在提供一种简单、高效的动态代码替换机制,从而让开发者能够轻松地调试和修改应用程序的行为。 项目简介 And64InlineHook的核心理念是利用ARM64架构下的内联汇编,实现原生代码级别的钩子,即在不改变目标函数代码结构的前提下...
内存注入(IAT HookInline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
C++ Hook(钩子)编程,通过内联汇编,使类成员函数代替全局函数(静态函数)
jiaxiaokai的博客
05-11 4824
编程语言:C/C++ 编译环境:Visual Studio 2008 核心方法::通过内联汇编,构造类对象独享的函数(委托),完成了类成员函数到普通全局函数的转化,并在Windows Hook(钩子)编程中得到成功的实践。 关键字:C++,委托,内联汇编,Hook,成员函数     引文: 前段时间曾编写了一个自认为很完善的.NET平台上的Hook(钩子)动态链接库(DLL),并进一
软件安全之Hook 技术 Inline Hook技术应用 TraceMe.exe
SKPrimin的博客
12-12 3502
Hook 技术 实验须知 1实验说明 Hook 是在指令的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信息改变目标进程原本执行流程等目的。 2实验目的 本实验使用 Inline Hook 技术,挂钩 [raceMe.exe百度网盘地址(提取码1111)中计算序列号的代码,获取正确的序列号,加深对 Hook 技术的理解。 3实验原理 Hook Hook∶中文译作"挂钩"或"钩子",在指令执行的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信
自己写的一个hook库 比较适合做inline hook
xjay_cc的专栏
06-11 1666
自己经常没事做做单机游戏的作弊软件玩,经常遇到需要写hook的时候 ,于是乎就自己写了一个小巧的hook类库, 使用了beaengine的汇编引擎,如果是用来做系统apihook 也可以做到 只是没有detour那么简单无脑好用,我主要是用来做一些inline hook , 监控/修改某些寄存器的值,刚刚随手写完了 就想着发上来吧,以后有需要也可以自己慢慢的拓展,目前只支持x86 。
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
三种call解释(一): cdcall stdcall naked call等在hook时,保持堆栈平衡
onlyfunboy的专栏
12-06 1650
exe调用某个函数时: int TestFun(int a, int b); EBP+C: second parameter EBP+8: first parameter EBP+4: return address EBP: previous EBP ===》 旧的ebp值(调用者的ebp) EBP-4: local variable EBP-8: local variable ...
内核inlinehook界面工程代码实现解析
根据给定文件信息,我们需要讨论的知识点是“内核inlinehook的界面工程代码”,这一主题涉及到操作系统内核级别的编程技术,特别是在Windows操作系统中对内核函数进行Inline Hook(内联挂钩)的技术。在深入讨论这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值