win hook
关注
分享
扫一扫
linuxheik
这个作者很懒,什么都没留下…
展开
-
win hook codeproject
http://www.codeproject.com/Articles/32131/Dynamically-Add-Edit-Environment-Variables-of-Remo原创 2013-04-19 14:32:04 · 786 阅读 · 0 评论 -
类调用堆栈stdcall thiscall
看deom吧,两个对比C/C++ code?123456789101112131415161718192021222324252627282930313233343536373839404142转载 2017-07-07 09:53:05 · 369 阅读 · 0 评论 -
windows 32位以及64位的inline hook
对于系统API的hook,windows 系统为了达成hotpatch的目的,每个API函数的最前5个字节均为:8bff move edi,edi55 push ebp8bec mov ebp,esp其中move edi,edi这条指令是为了专门用于hotpatch而插入的,微软通过将这条指令跳转到一个short jmp,然后一个long jmp可以跳转到任意4G范围转载 2015-10-20 11:22:13 · 1632 阅读 · 0 评论 -
JMP、Hook
#include "stdio.h" #include "tchar.h" #include "windows.h" //offset=目标地址-(jmp指令起始地址+5) //跳转指令解码:[0xe9][offset] // offset:有符号整型,四字节.它等于jmp指令的下一指令地址到目标地址的相对距离 // 计算公式: //转载 2015-10-20 11:46:26 · 1066 阅读 · 0 评论 -
妙用mov edi,edi和5个nop实现inline hook
妙用mov edi,edi和5个nop实现inline hook2008年2月22日 | 分类: 其它技术 | 标签: inline hook, nop这方法MJ很早时就说过了,简单重复下。大家应该发现大部分API的第一条指令都是mov edi,edi,比如在我的电脑上MessageBoxA的代码如下:77D5058A > 8BFF转载 2015-10-20 11:12:04 · 794 阅读 · 0 评论 -
Win32API起始处的mov edi, edi与用户空间InlineHook
孤影对酌Win32API起始处的mov edi, edi与用户空间InlineHook在x86平台上,无论是在调试器中跟到系统DLL中时,还是反汇编某个系统DLL时,经常会发现很多API的第一条汇编指令都是mov edi, edi。根据经验来讲,C函数的汇编形式,应该是首先push ebp保存原始栈顶,然后mov ebp, esp构造新的栈帧,接下来su转载 2015-10-20 11:02:10 · 653 阅读 · 0 评论 -
mov edi,edi - hook api
mov edi,edi - hook api系统: windows xp查看系统函数的反汇编代码时会发现开头有个"mov edi,edi"(2字节),再往前则是5个nop指令(当然这不会引人注意),可是"mov edi,edi"有什么用了.上网搜索"mov edi,edi",结果让人惊奇,据说系统函数都添加了这段"无用"的代码,为的是Hot Patching,详细内容请自行搜索.通转载 2015-10-20 11:03:43 · 851 阅读 · 0 评论 -
hook对应的汇编码0x8B, 0xFF,0x55,0x8B, 0xEC, // mov ebp,esp
void lockUnhandledExceptionFilter() { HMODULE kernel32 = LoadLibraryA("kernel32.dll"); Assert(kernel32); if (FARPROC gpaSetUnhandledExceptionFilter = GetProcAddress(kernel32, "SetUnhandle转载 2015-10-20 10:38:30 · 2281 阅读 · 0 评论 -
恢复平衡0x8b,0xff,0x55,0x8b,0xec
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行2013年02月22日 ⁄ 综合 ⁄ 共 3602字 ⁄ 字号 小 中 大 ⁄ 评论关闭作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731转载 2015-10-20 14:53:22 · 2253 阅读 · 0 评论 -
Hook api! 如何拦截系统api, 让它做你想做的事!
Hook api! 如何拦截系统api, 让它做你想做的事!分类: windows 编程基础 安全2014-05-05 20:35 1007人阅读 评论(0) 收藏 举报windows拦截系统api实例正文: 拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内转载 2015-10-20 11:13:52 · 837 阅读 · 0 评论 -
Detours 使用方法 HOOK API
Detours 使用方法 HOOK API [复制链接] liuyuxi 发表于 2015-1-11 00:03:26 | 显示全部楼层一、Detours库的来历及下载: Detours库类似于WT转载 2015-10-20 10:59:37 · 1025 阅读 · 0 评论 -
mov edi,edi和Hot Patching详解
mov edi,edi和Hot Patching的一点解释2011年7月13日代码疯子发表评论阅读评论最近发现不少函数开头都有mov edi,edi这样的指令,正好在《Advanced Windows Debugging》一书中看到了一点解释。书上说是为了Hot Patching,网上也有这样的解释。不过网上的解释有两种情况,一种是函数开头有mov edi, e转载 2013-06-19 16:42:22 · 1204 阅读 · 0 评论 -
Inline HOOK API 改进版(hot-patching)
Inline HOOK API 改进版(hot-patching)分类: C/C++语言 C/C++ inline汇编语言 汇编语言2010-06-11 15:56 6182人阅读 评论(13) 收藏 举报hookapiwinapiraiidstbyte记得在之前写过一篇hook api的文章(C/C++ HOOK API(原理深入剖析之-LoadLibraryA)转载 2013-06-19 16:41:09 · 795 阅读 · 0 评论 -
API hook 原理与Windows hook 应用
API hook 原理与Windows hook 应用分类: 系统程序2012-04-14 12:20 3679人阅读 评论(3) 收藏 举报hookapiwindowsattributesdescriptorwinapi目录(?)[+]优快云 上图片很麻烦,请到百度文库直接看Word 文档,图片比这个全http://wenku转载 2013-06-19 16:10:11 · 860 阅读 · 0 评论 -
函数开始处的MOV EDI, EDI的作用收藏
函数开始处的MOV EDI, EDI的作用收藏BYTE JMP[10] = {0x8b,0xFF, 0x55, 0x8b, 0xEC, 0xE9, 0x00, 0x40/0x00, 0x00, 0x00};Posted on 2009-04-01 11:19 S.l.e!ep.¢% 阅读(631) 评论(0) 编辑 收藏 引用 所属分类: Reverse Engineerin转载 2013-06-19 16:38:44 · 1082 阅读 · 0 评论 -
windows补丁下载地址
https://support.microsoft.com/zh-cn/help/4041678/windows-7-update-kb4041678转载 2017-12-22 11:58:56 · 23879 阅读 · 0 评论