mov edi,edi和Hot Patching详解

最新推荐文章于 2016-10-14 18:22:55 发布
转载 最新推荐文章于 2016-10-14 18:22:55 发布 · 1.2k 阅读 · 0

本文探讨了函数开头出现的movedi,edi指令及其与HotPatching的关系。详细解析了两种不同情况下该指令的作用,一种用于HotPatching方便实现InlineHook,另一种则作为对齐指令使用。

mov edi,edi和Hot Patching的一点解释

2011年7月13日 代码疯子 发表评论 阅读评论

最近发现不少函数开头都有mov edi,edi这样的指令,正好在《Advanced Windows Debugging》一书中看到了一点解释。书上说是为了Hot Patching,网上也有这样的解释。

不过网上的解释有两种情况,一种是函数开头有mov edi, edi,再往前则是5个连续的nop的,就是用来Hot Patching的。而如果仅仅只是mov edi, edi,则是为了对齐设置的指令,和两个nop差不多,不过据说前者速度更快。MessageBoxA的情况如下:

7632EA68    5D              pop     ebp
7632EA69    C2 1400         retn    14
7632EA6C    90              nop
7632EA6D    90              nop
7632EA6E    90              nop
7632EA6F    90              nop
7632EA70    90              nop
;↓↓↓↓↓↓↓↓↓↓MessageBoxA↓↓↓↓↓↓↓↓↓↓
7632EA71 >  8BFF            mov     edi, edi
7632EA73    55              push    ebp
7632EA74    8BEC            mov     ebp, esp
7632EA76    833D 749A3376 0>cmp     dword ptr ds:[76339A74], 0
7632EA7D    74 24           je      short USER32.7632EAA3
7632EA7F    64:A1 18000000  mov     eax, dword ptr fs:[18]
7632EA85    6A 00           push    0

可以看到是第一种情况。这可以方便Inline Hook的实现。把mov edi, edi改写成一个近跳(EB),跳到第一个nop之处,然后把五个nop改写成一个远跳(E9)。而如果要使用,则只需跳转到到mov edi, edi的下一条指令。
Hot-Patching

本博客很少转载他人文章,如未特别标明,均为原创,转载请注明出处:
本文出自程序人生 >> mov edi,edi和Hot Patching的一点解释

微软揭秘 Windows Server Hotpatching 工作原理,带你了解编程中的奥秘
HackWhisper的博客
10-03 215
它允许在不重启服务器的情况下应用关键系统更新补丁,从而最大程度地减少系统的停机时间。通过理解应用 Windows Server Hotpatching 技术,开发人员可以在不中断系统运行的情况下应用关键的系统更新补丁,提高服务器的可用性稳定性。这项技术在生产环境中尤为重要,因为它可以减少系统的停机时间,提高服务的连续性。它使用一种称为“代码补丁”或“代码挂钩”的技术,将新的代码片段插入到系统中。最后,我们将新函数的地址写入原始函数的位置,从而完成函数的更新。将新函数的代码复制到分配的内存空间中。
Oracle 11g 新特性 -- Online PatchingHot Patching 热补丁)说明
weixin_30691871的博客
11-22 362
一.官网说明MOS 的文档:RDBMSOnline Patching Aka Hot Patching [ID 761111.1] 有说明。这里取部分内容。A regular RDBMSpatch is comprised of one or more object (.o) files and/or libraries (.afiles). Installing a regular p...
MOV EDI,EDI指令的解释(整理)
绝迹·危言的专栏
11-24 8021
XP系统程序中开头的MOV  EDI,EDI指令的解释: 在VS .NET 2003的VC7\INCLUDE目录中的listing.inc文件中定义了1到7个字节的无破坏性NOP操作的宏 MOV  EDI,EDI 就是两个字节的NOP 在程序中与NOP指令的意义相同。 为什么要用MOV  EDI,EDI 而不用两个NOP? 我的理解是: 用两个NOP指令耗费的CPU时钟周期
函数开始处的MOV EDI, EDI的作用
jcwKyl的专栏
12-24 8219
调试程序调试到系统库函数的代码时,总会发现系统函数都是从一条MOV EDI, EDI指令开始的,紧接着这条指令下面才是标准的建立函数局部栈的代码。对系统DLL比如ntdll.dll进行反汇编,可以发现它的每个导出函数都是如此,并且每个导出函数开始处的MOV EDI, EDI上面紧接着5条NOP指令。比如在WinDbg中查看TextOutA周围的代码: 0:000> u TextOutA-0x0a
函数调用之mov edi, edi
HUA的专栏
12-14 1733
很多函数前面几个指令都是下面这样: mov     ediedi push    ebp mov     ebp, esp 第一行指令,是不是没用呢? 你还会在上面发现5个没用的nop 这样的做法是方便做hook,比如你要挂钩这个函数,你可以用一个2字节的短jmp(eb xx)转移到那5个nop那里,然后在那5个nop那里做一个大的jmp(e9 xx xx xx x
Inline HOOK API 改进版(hot-patching
热门推荐
masefee C/C++游戏编程
06-11 1万+
记得在之前写过一篇hook api的文章(C/C++ HOOK API(原理深入剖析之-LoadLibraryA)),那篇文章主要原理是构造一块代码字节,将LoadLibraryA函数的前面16个字节给修改,然后跳转到自定义的函数中。要调用正常的函数时,又将其unHook,这样一来再一次调用中,有一次unhook一次hook,操作显得过于频繁。而且hook与unhook当时设计成了thiscall,因此维护传递this的寄存器(通常是ecx)就成了必然,再加上参数的传递,__Inline_Hook_Fun
HotPatching:(非常)深入内部
04-09
热补丁技术,通常被称为“HotPatching”,是一种在系统运行时无需...对于那些有兴趣深入了解热补丁工作原理的读者,可以参考提供的资源——"HotPatching-VERY-Deep-Inside.pdf",该文档可能涵盖了更多细节技术实现。
puppet_os_patching:一个Puppet模块,提供了一组任务自定义事实,允许自动化修补OS并报告
02-06
os_patching 该模块包含一组任务自定义事实,以允许自动化修补程序报告。 当前,修补程序可在Linux(Redhat,SuseDebian衍生产品)Windows(已测试Server 2008到2019)上运行。 在后台,它使用操作系统...
精选资源
Beginners Dongle Patching.rar_Cracking Patching_beginners_dongle
07-13
beggenner to dongle cracking
JavaScript队列函数异步执行详解
10-19
通过理解异步调用的工作原理,我们可以使用各种策略来控制函数的执行顺序,例如简单的数组遍历、Monkey Patching,或者更优雅的解决方案如上述的`asyncQueue`。在实际开发中,尤其是在处理复杂的异步逻辑时,这样的...
XML differencing and patching tools-开源
05-13
"XML differencing and patching tools-开源"这个主题强调的是开源的XML差异补丁解决方案。开源软件意味着源代码是公开的,允许社区成员自由使用、修改分发。这种开放性鼓励了创新协作,使得这些工具通常具有...
Win32API起始处的mov edi, edi与用户空间InlineHook
weixin_30508309的博客
09-29 158
在x86平台上,无论是在调试器中跟到系统DLL中时,还是反汇编某个系统DLL时,经常会发现很多API的第一条汇编指令都是mov edi, edi。根据经验来讲,C函数的汇编形式,应该是首先push ebp保存原始栈顶,然后mov ebp, esp构造新的栈帧,接下来sub esp, 0nnh分配局部变量空间,之后就是函数体了,结束时先mov esp, ebp恢复栈指针,然后pop ebp恢复栈顶指...
hot patching
weixin_34302561的博客
10-14 150
Online Patching 说明说明:该部分内容摘自OCP 050教材。在Oracle 11g中提出了online patch(也叫hot patch)的特性;Hot patching允许我们在实例始终在线的情况下安装,启用或禁用一个修复补丁(fix)或者诊断补丁(diagnostic patches)。使用热补丁可以安装、启用禁用正在运行的活动Oracle 实例...
关于MOV EDI,EDI
功夫牛的专栏
01-22 1178
最近在逆向一个程序,以前倒是没有怎么注意。无论在OD,还是在ida里面,进入一个子程序后会发现有这样三句代码:     MOV    EDI, EDI     PUSH   EBP     MOV    EBP, ESP第二句第三句的意思相信不用多说,就是第一句 mov ediedi。于是查了资料说法不一,在http://blogs.msdn.com/ishai/archive
函数开始处的MOV EDI, EDI的作用收藏
linuxheik的专栏
06-19 1166
函数开始处的MOV EDI, EDI的作用收藏 BYTE JMP[10] = {0x8b,0xFF, 0x55, 0x8b, 0xEC, 0xE9, 0x00, 0x40/0x00, 0x00, 0x00}; Posted on 2009-04-01 11:19 S.l.e!ep.¢% 阅读(631) 评论(0)  编辑 收藏 引用 所属分类: Reverse Engineerin
妙用mov edi,edi5个nop实现inline hook
linuxheik的专栏
10-20 842
妙用mov edi,edi5个nop实现inline hook 2008年2月22日 | 分类: 其它技术 | 标签: inline hook, nop 这方法MJ很早时就说过了,简单重复下。 大家应该发现大部分API的第一条指令都是mov edi,edi,比如在我的电脑上MessageBoxA的代码如下: 77D5058A > 8BFF
Hook :HOOK API 原理深入剖析2 - Inline(hot-patching
it技术学习
04-03 990
记得在之前写过一篇hook api的文章(C/C++ HOOK API(原理深入剖析之-LoadLibraryA)),那篇文章主要原理是构造一块代码字节,将LoadLibraryA函数的前面16个字节给修改,然后跳转到自定义的函数中。要调用正常的函数时,又将其unHook,这样一来再一次调用中,有一次unhook一次hook,操作显得过于频繁。而且hook与unhook当时设计成了thiscal
【转自论坛】系统API中如何实现hotpatching。。。
YSBJ123的博客
01-05 908
原帖链接:http://bbs.youkuaiyun.com/topics/390940473?page=1#post-400726264 问题的来源于调试若干个系统的API函数,发现所有的系统API函数的开始出的汇编代码都会有如下的这个样子 76754A86   nop                             // 都会出现 76754A87   nop
monkeypatching
最新发布
08-22
### 三级标题:Monkey Patching 的定义与特性 Monkey Patching 是一种在运行时动态修改或扩展类、模块、函数等行为的技术。它允许开发者在不更改原始源代码的前提下,通过替换对象的属性或方法,来改变代码的执行方式或增加新功能。这一技术特别适用于动态编程语言,如 Python,因为它提供了高度的灵活性可扩展性[^1]。 ### 三级标题:工作原理 Monkey Patching 的核心在于运行时的动态替换。这意味着可以在程序启动时或执行过程中,对已存在的类、模块或函数进行修改。例如,在 Python 中,可以通过重新赋值的方式,将一个模块中的函数替换为另一个实现,从而改变其行为。这种技术的应用场景非常广泛,包括但不限于修复第三方库中的 bug、为现有代码添加新功能、以及在测试中模拟特定行为[^2]。 ### 三级标题:应用场景 - **修复第三方库中的 bug**:当使用第三方库时,如果发现其中存在 bug,但又无法直接修改库的源代码,可以使用 Monkey Patching 技术临时修复该 bug。 - **添加新功能**:无需修改现有类或函数的源代码,即可为其添加新的功能。 - **测试**:在测试过程中,可以使用 Monkey Patching 替换某些函数或方法,以便在特定条件下运行测试,或模拟某些行为[^3]。 ### 三级标题:Python 中的实现示例 在 Python 中,Monkey Patching 可以通过简单的赋值操作来实现。例如,假设有一个模块 `sub.py`,其中导入了标准库的 `json` 模块。为了提高性能,希望将 `json` 替换为更快的 `ujson` 模块。可以通过以下方式实现: ```python # main.py import json import ujson def monkey_patch_json(): json.__name__ = 'ujson' json.dumps = ujson.dumps json.loads = ujson.loads monkey_patch_json() print('main.py', json.__name__) import sub ``` 在这个例子中,`monkey_patch_json` 函数通过修改 `json` 模块的 `__name__` 属性,并将其 `dumps` `loads` 方法替换为 `ujson` 的对应方法,实现了对 `json` 模块的行为修改。这样,在 `sub.py` 中即使没有显式导入 `ujson`,也可以使用经过优化的 `ujson` 模块的功能[^4]。 ### 三级标题:注意事项 尽管 Monkey Patching 提供了极大的灵活性,但也存在一些潜在的风险注意事项: - **维护难度增加**:过度使用 Monkey Patching 可能会使代码难以理解维护,因为行为的改变不是显式的。 - **冲突风险**:如果多个库或模块都尝试对同一个对象进行 Monkey Patching,可能会导致不可预测的行为。 - **调试困难**:由于行为可以在运行时被修改,这可能使得调试变得更加复杂。 ### 三级标题:总结 Monkey Patching 是一种强大的技术,它允许开发者在不修改原始代码的情况下,动态地修改或扩展代码的行为。然而,这种技术的使用应当谨慎,以避免引入不必要的复杂性潜在的问题。在适当的情况下,Monkey Patching 可以极大地提升开发效率代码的灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值