如何通过改写进程地址空间的数据来达到插入汇编的功能

原创

于 2020-05-13 15:55:50 发布

· 1k 阅读

1 ·

版权

本文介绍了如何通过改写Windows进程地址空间中的数据，插入汇编指令来实现功能。具体做法是在PreventSetUnhandledExceptionFilter函数中找到目标函数地址，写入跳转指令，使得程序在调用SetUnhandledExceptionFilter时，实际执行自定义的TempSetUnhandledExceptionFilter函数，从而达到屏蔽原函数的效果。文章包含简化后的测试代码和汇编运行原理的解释。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

今天在找如何在Windows上编译breakpad的答案时，看到了这个博客：https://www.cnblogs.com/cswuyg/p/3207576.html。在这个博客的代码中学到了点东西，现在就来记录一下。

talk is cheap show me the code.先上代码好了，下面的代码是我从上面的博客上精简下来的测试代码，如下

#include <Windows.h>
#include <iostream>

LPTOP_LEVEL_EXCEPTION_FILTER WINAPI TempSetUnhandledExceptionFilter(LPTOP_LEVEL_EXCEPTION_FILTER lpTopLevelExceptionFilter)
{
    std::cout << "TempSetUnhandledExceptionFilter\n";
    return NULL;
}

BOOL PreventSetUnhandledExceptionFilter()
{
    HMODULE hKernel32 = LoadLibrary(L"kernel32.dll");
    if (hKernel32 == NULL)
    {
        return FALSE;
    }
    void *pOrgEntry = ::GetProcAddress(hKernel32, "SetUnhandledExceptionFilter");
    if (pOrgEntry == NULL)
    {
        return FALSE;

最低0.47元/天解锁文章