64 位 Hook

最新推荐文章于 2024-09-11 13:55:26 发布
原创 最新推荐文章于 2024-09-11 13:55:26 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asm #hook

本文介绍了如何在64位环境下使用Visual Studio 2015进行Hook技术的实现,包括具体的汇编代码修改过程及注意事项。由于VS2015不支持asm,文中提到需借助Intel C++ Compiler来完成64位Hook测试。

具体代码请参考

改动的代码

_asm
    {
        lea rdi, OldCode        
        mov rsi, oldAddr 
        cld   
        movsd 
        movsb 
    }
    NewCode[0] = 0xe9;
    _asm
    {
        lea rax, Core
        mov rbx, oldAddr  
        sub rax, rbx             
        sub rax, 5           
        mov qword ptr[NewCode + 1], rax//原来四字节换成八字节
    }

因为64位,寄存器变了,所以换了寄存器

这里写图片描述
这里写图片描述
哈哈HooK成功!

vs2015 64 位下是不能识别asm的,要下载Intel C++ Compiler ,我是 17.0

64位Hook测试样本

64下的InlineHook
weixin_30684743的博客
08-11 2126
目录 x64下手工HOOK的方法 一丶HOOK的几种方法之远跳 1. 远跳 不影响寄存器 + 15字节方法 2.远跳 影响寄存器 + 12字节方法 3.影响寄存器,恢复寄存器 进行跳转. 4. 常用 jmp + rip方式跳转 大小6个字节 ...
64汇编跳转,64HOOK
qq_36570644的博客
04-22 4133
传统JMP 只支持32的程序, 64程序的地址有 8个字节 ,直接JMP只支持4个字节,跳转的地址和HOOK地址相减超过4个字节 就会出错了 在64 可以这样跳, push rax 保存寄存器 mov rax,目标绝对地址 jmp rax pop rax 还原寄存器 很简单,如果你分配的内存地址是64的话。如: 504BEA0000, 根据我帖子里的回复,你可以这样 方...
计算机网络基础(TCP/IP)
涛哥的博客
04-25 7930
made BY Barry 网络 网络基础 看了很多网络相关的书和视频,还是觉得多特网络教育课程-这个老师讲得好,于是我就把所有基础部分听完了,并把老师讲的转成了文档保存起来了。 再次感谢无私的老师和无私传播视频的人,我也发点热,把课程总结发出来给有需要的人。 word文档资源链接: ...
HOOK API 完美支持 x86 x64
05-24
完美支持 x86、x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
64系统下hook的问题.rar
07-12
64系统下hook的问题.rar
C/C++ x64 Inline Hook 代码封装
m0_46135508的博客
11-10 1387
接着来研究一下64程序的Hook,64与32系统之间无论从寻址方式,还是语法规则都与x32架构有着本质的不同,所以上面的使用技巧只适用于32程序,注入32进程使用,下面的内容则是64下手动完成Hook挂钩的一些操作手法,由于64编译器无法直接内嵌汇编代码,导致我们只能调用C库函数来实现Hook的中转.简单实现64Hook去弹窗: 由于64编译器无法直接内嵌汇编代码,所以在我们需要Hook时只能将跳转机器码以二进制字节方式写死在程序里,如下代码是一段简单的演示案例,主要实现了去弹窗的功能.
WIN64驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
精选资源
Inline Hook_inlinehook_x86_x64_64HOOK_
09-28
在32(x86)和64(x64)平台上,Inline Hook的实现方式有所不同。x86架构通常使用JMP或CALL指令来跳转到Hook处理程序,而x64架构则更倾向于使用RIP相对寻址,因为x64指令集更倾向于减少绝对地址的使用。Inline ...
精选资源
易语言64APIHOOK-易语言
06-12
易语言64APIHOOK是针对64操作系统的一个编程技术,主要目的是为了在易语言环境中实现对系统API(应用程序接口)的钩子(Hook)功能。API钩子是一种技术,允许开发者拦截特定函数调用,以便在调用前后执行自定义...
精选资源
易语言x64-hook模块源码+实列
07-30
1. **x64架构与Hook技术**:在64(x64)操作系统环境下,程序处理和内存管理方式与32(x86)有所不同,因此,传统的Hook技术在x64平台需要进行适应性调整。本资源提供的源码和实例针对x64架构,讲解如何在这一...
完美支持64&32InlineHook,C语言,C++类 都有
09-17
Windows 64和32Inline Hook的例子。包括C语言代码,和封装好的C++类,绝对超值,超简单实用的例子,可以直接运行,用了绝对说好!
64驱动SSDTHOOK教程
10-02
完整的64驱动SSDTHOOK文档资料,学习win7 64驱动很好的
win7 64 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
x64 APIHOOK
04-17
64系统的apihook类,方便使用apihook,64asm很麻烦的..
浅谈64进程远程hook技术及64模块导出表的一些变化,附源码-易语言
06-11
本人使用易语言 也有10几年时间,至今留下来的也只是一些怀念和情节,还记得上一次在本论坛发帖是在10年前,期间也只是零星来论坛看看。平常使用也纯属兴趣爱好,并非科班出身,一些见解如若有误,忘大神包含。我们知道目前易语言是支持32编译,后期估计也不会有所改善了,这似乎已经成为一门被放弃的失败品。既然如此面对如今64系统的普及,易语言爱好者面对64程序的操作层面上就显得有些无奈和悲哀。好在有着一些执着的爱好者不想放弃,依然在鼓励解决这些问题,如本论坛的一个开源模块WOW64Ext,就为易语言操作64模块进程提供了一些基本的封装,本人也借此基础上封装了几个功能,作为进一步扩展,有兴许的朋友可以继续完善。 一:浅谈64进程远程hook技术 关于HOOK这个话题,网络上铺天盖地并无新鲜,故在此我就不讲述什么是HOOK这些无聊话题了,本文主要阐述一些64下远程HOOK与32的主要区别。首先我们来看看要实现一个远程HOOK的构成顺序:1:在目标进程申请内存空间,存放我们截断后的穿插代码与HOOK原代码2:修改HOOK目标置的指令为跳转至1申请的内存空间中3:穿插代码中把我们需要的寄存器或其他通过通讯手段传达到我们程序的回调接口中去,在这个过程中如果只需要取值,穿插代码不需要等待,如果需要修改生效,穿插代码需要等待回调接口的返回,并把修改内容写回。4:穿插代码最后跳回到HOOK置长度的下一跳指令,或指定的置。5:完成整个HOOK过程了解了整个过程看上去似乎很简单,确实要做到这个过程是不难的,只是要做到相对完美要考虑的情况有很多。比如对跳转使用的选择情况:HOOK跳转代码肯定是越短越好,像32JMP跳转只需要5字节即可,但是在64进程中情况确截然不同。32进程寻址能力为4字节,而64进程寻址能力变成了8字节,然而64汇编中所有的跳转直接寻址只支持4字节,这在32中当然不是什么问题,因为32最大寻址本来就不会超越4字节,不存在超限的说法:但64中想要达到长转移,必须借用寄存器或地址偏移,那么一般在64HOOK的跳转代码在不影响寄存器的情况下一般使用如下办法FFFFFFFFFFFFFFFF作为跳转目标地址:为了不影响寄存器必须提前压入一个寄存器 --------------------------Push raxMov rax, FFFFFFFFFFFFFFFF JMP rax 或 call rax 在内部要取回rax ,这里注意JMP和call的区别,最后平栈 -------------------------- Push rax Mov rax,FFFFFFFFFFFFFFFF Push rax Ret 在内部要取回rax ,最后平栈 有的朋友看到这要问了 我不能直接 JMP FFFFFFFFFFFFFFFF或者 push FFFFFFFFFFFFFFFF 啊,您要这么问,我实在不知如何回答你,表示无语,您还是直接下个源码玩玩算了。 其他类似的列子我就不一一举例了,总结也是差不多形态,以上列子共占用13字节长度,这还是堆栈放在了内部平,否则还要+1个字节长度,如果放弃其中一个寄存器可以-1个字节长度,所以一般网上现有的64hook一般都在12字节以上,但是一个好用的hook要占用13字节的长度,对我而言无疑无法忍受,难道真的没有其他办法了吗,要保护寄存器且支持长转移,是不是还有其他办法,那么其实是有办法的,就是通过JMP [rip] 机器码形态为 FF 25 00 00 00 00 这句代码占用6字节,那么这是什么意思呢 FF 25 = jmp ,00 00 00 00为偏移长度 对一个支持2G的字节转移长度,JMP [rip]在调试器中可以解释为 jmp qword ptr ds:[0x地址],对了,也就是读取这个偏移置中的8字节数值作为跳转地址转移过去,如果偏移为00 00 00 00 那么就代表 JMP [rip]的下一条指令处8字节数据。想到这你也许会问  那么这个意思不就是JMP [rip]6字节+8字节长度吗,对如果是连起来确实如此,但是我们可以给他个偏移啊,不就可以分开了吗,我们只需要搜索同模块的其他置中00或CC等连续8字节无用代码置,把跳转的地址写入其中,那么JMP [rip]就可以通过偏移读取到跳转地址了。我们也就能实现6字节的HOOK,这个方式的亮点是改写长度小,且不影响寄存器和rsp堆栈指针,也算是达到曲线救国的目的。 比如对穿插代码中数据传递的问题:我们要获得16个通用寄存器RAX—R15的每个值,这些值我们又如何传递过去。一般远程HOOK数据传递使用消息或者远线程,因为这两种方式汇编改写量小一点,相对容易实现,在这我们不讨论远线程,我们来看看消息传递,一般是两个函数的选
c++64hook代码_目标检测(MMdetection)-HOOK机制
weixin_31346703的博客
11-29 1122
最近做了一段时间的目标检测,不得不说检测这块还是相对比较复杂的,在熟悉项目的同时也确实学习到了很多有用的东西。MMdetetion是现在最著名、算法包最多并且使用人数最多的训练框架,其中的源码非常值得学习,今天总结下我对其中HOOK(钩子)机制的理解。​ MMdetection最近更新很多,我以2.4.0版本的代码进行解读,分享自己的理解,也吸纳观众的点评。HOO...
VB6版 64 api hook
最新发布
guoyong_cy的博客
09-11 1058
CopyMemory newCode(9, funID), ByVal VarPtr(lngFunAddr) + 4, 4 'newfunc.hi,4,即地址的高4字节。CopyMemory newCode(1, funID), lngFunAddr, 4' newfunc.lo, 4,即地址的低4字节。hookCount = 4 'hook函数的个数-1。'这里可以添加更多需要hook的函数,设置成不同的funID就行。'''这里是测试用自定义函数替换原函数。
C++ Windows实现64/32InlineHook(x86平台)
sthudy的博客
12-15 1209
C++实现64/32InlineHook
Verilog HDL入门第一章
EndaFang0420的博客
11-08 624
Verilog HDL 第一章 简介 文章目录Verilog HDL第一章 简介什么是Verilog HDL历史主要特点 什么是Verilog HDL Verilog HDL是一种硬件描述语言,用于从算法级、门级到开关级的多种抽象设计层次的数字系统建模。被建模的数字系统对象的复杂性可以介于简单的门和完整的电子数字系统之间。数字系统能够按层次描述,并可在相同描述中显式地进行时序建模。 Verilog HDL 语言具有下述描述能力: 设计的行为特性 设计的数据流特性 设计的结构组成 包含响应监控和设计验证方面
深入掌握64HOOK编程:使用detours_X64
从文件信息中可以看出,detours_X64库是微软为64系统用户专门设计的,其作用是提供一个平台,让有需要的开发者可以学习如何进行64系统的HOOK编程。掌握这一技能对于软件开发者来说有着极大的帮助,不仅可以增强...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值