hook模板x86/x64通用版(1)--x64下的jmp远跳、远call指令

最新推荐文章于 2021-08-05 13:01:27 发布
原创 最新推荐文章于 2021-08-05 13:01:27 发布 · 4.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#x64 #long jmp #远call

本文深入分析了x64环境下实现远跳和远调用的基本指令,并提供了优化后的代码实现,同时讨论了pushad/popad在x64平台的替代方案。
我一直在寻找能用,通用,简短的x64远跳河远call指令
现在用的跟大家分享一下,哪位大牛有更好的希望可以指点一下。
还有pushad/popad在x64下有什么好的替代品么?求指点。

远跳:
代码:
push 地址的低32位
mov dword ptr ss:[rsp+4],地址的高32位
ret
远call:
代码:
call @next   //e8 00 00 00 00
@next:
add dword ptr ss:[rsp],12
push 地址的低32位
mov dword ptr ss:[rsp+4],地址的高32位
ret
所以其实本质上,远跳使用的还是push/ret的原理,远call使用的是push返回地址,再远跳到call的地址。

成品函数:
代码:
void CHook::WriteJMP_x64( DWORD_PTR dwFrom , DWORD_PTR dwTo )
{
  DWORD_PTR dwAdr = dwFrom;

  DWORD dwOldP;
  VirtualProtect((LPVOID)dwAdr , 0x100 , PAGE_EXECUTE_READWRITE , &dwOldP);

  *(BYTE*)dwAdr = 0x68;
  dwAdr+=1;
  *(DWORD32*)dwAdr = DWORD32(dwTo & 0xffffffff);
  dwAdr+=4;
  *(DWORD32*)dwAdr = DWORD32(0x042444c7);
  dwAdr+=4;
  *(DWORD32*)dwAdr = DWORD32(dwTo >> 32);
  dwAdr+=4;
  *(BYTE*)dwAdr = 0xc3;
//14 bytes
}

void CHook::WriteCall_x64( DWORD_PTR dwFrom , DWORD_PTR dwTo )
{
  DWORD_PTR dwAdr = dwFrom;

  DWORD dwOldP;
  VirtualProtect((LPVOID)dwAdr , 0x100 , PAGE_EXECUTE_READWRITE , &dwOldP);

  *(BYTE*)dwAdr = 0xE8;
  dwAdr+=1;
  *(DWORD*)dwAdr = DWORD32(0);
  dwAdr+=4;
  *(DWORD32*)dwAdr = DWORD32(0x12240483);
  dwAdr+=4;
  *(BYTE*)dwAdr = 0x68;
  dwAdr+=1;
  *(DWORD32*)dwAdr = DWORD32(dwTo & 0xffffffff);
  dwAdr+=4;
  *(DWORD32*)dwAdr = DWORD32(0x042444c7);
  dwAdr+=4;
  *(DWORD32*)dwAdr = DWORD32(dwTo >> 32);
  dwAdr+=4;
  *(BYTE*)dwAdr = 0xc3;
//23 bytes
}
64位汇编转,64位HOOK
qq_36570644的博客
04-22 4138
传统JMP 只支持32位的程序, 64位程序的地址有 8个字节 ,直接JMP只支持4个字节,转的地址和HOOK地址相减超过4个字节 就会出错了 在64位 可以这样, push rax 保存寄存器 mov rax,目标绝对地址 jmp rax pop rax 还原寄存器 很简单,如果你分配的内存地址是64位的话。如: 504BEA0000, 根据我帖子里的回复,你可以这样 方...
简单linux 下 x64任意地址的inlinehook
liutianheng654的博客
03-25 1727
相对主流工具frida,更加快速的inlinehook,代码简单,可以针对性进行修改
x64进程hookx64_程调用函数,源码更新V1.8.2:2021/4/12-易语言
06-11
x64进程hookx64_程调用函数,源码更新V1.8.2:2021/4/12 源码为下方连接帖子后续更新内容: 浅谈64位进程hook技术: https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 不管您是转载还是使用请保留版权,源码在精益论坛免费发布本人未获利,请不要用于非法途径。 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.2更新 1:修复 x64_调用函数()在 易语言 主线程调用时造成消息无法回调,导致易语言主线程窗口卡死的问题。      感谢楼下易友发现的BUG,已经第一时间更新 2021/4/12 模块源码 v1.8.1更新 1:修复 hook全部卸载时的流程写法的一个错误,由于句柄的提前关闭导致多个hook点卸载不干净的问题 2:改写了消息回调时线程传参的代码优化,优化了其他一些小问题 3:  鉴于很多朋友需要,改写了模块自带实列,对TCP,UDP的两组封包函数做了hook实列写法 4:列子中同样增加对x64_调用函数()的应用写了几个列子,如使用套接字取得本地或端IP端口API调用的的应用实列 5:本hook模块不支持非模块内存区hook,如申请的动态分配页等,不是不能支持,只是觉得没有任何意义,对这方面有需求的,自行改写模块源码使用 提醒:hook回调函数中尽量减少耗时代码,时间越长返回越慢,回调中谨慎操作控件,如必须要用到可参考源码中实列写法采用线程操作 历史更新 --------------------------------------------------------------- 2021/3/1   模块源码v1.6更新: 1:修复  x64_程调用函数()命令,在没有提供 寄存器 参数时,没有返回值的BUG。 --------------------------------------------------------------- 2021/2/28 模块源码v1.5更新: 一:修复win7 64位系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 hook64指令_安装 的稳定性:        1,穿插代码中增加对标志位的保护,避免hook位置长度下一条指令转时产生转错乱的问题,强化了hook任意位置的定位        2,因为穿插代码中会调用API函数,而64位汇编必须遵守栈指针16字节对齐,故对穿插代码进行栈指针16字节对齐,增强稳定性        3,hook指令安装支持长度由6-127字节 变动 为 6-119字节,原因么没必要说了,代码优化造成的,稍微少了一点无所谓了        4,对模块回调进行了适当优化处理,增强稳定性 三:应支持的朋友需要故增加 x64_程调用函数()命令,易语言可以直接call64进程,且无需写汇编代码或机器码指令,支持15个参数,支持返回值,支持16个通用寄存器全部取得返回值       该功能调用即16字节栈对齐,不要用户管堆栈,代码内部构成,线程执行,你只需要知道call有几个参数,需要什么寄存器,对应提供即可。 四:有朋友说原模块x64英文看了烦,那好吧就给改成了中文标识,弄得我自己也不习惯 五:源码内列子改了改,可以自己看,需要注意的是模块注释的很详细,使用前最好看一看,尤其是hook回调接口的写法和安装的写法最好按照模块列子中的写法来,除非你能把64hook模块组看懂一遍,对于一些对本模块一知半解的朋友请不要乱改乱发,这个模块我会继续增强的,只是工作原因时间有限,只能一点一点来
x64_remotecall:在 x64 中执行程调用
06-12
x64_remotecallx64 中执行程调用 从 2014 年 5 月开始 -
易语言x64-hook模块源码+实列
07-30
易语言x64_hook模块源码+实列 带实用hook 实列 方便操作
x86/x64 Call Jmp 指令区别
weixin_30650039的博客
04-14 1051
Call指令主要实现对一个函数的调用。Jmp指令主要实现地址的调转。 Call指令Jmp指令的区别       1Call指令Jmp指令的机器码不同。     2:Call指令会对当前指令的下一条指令的地址进行压栈操作,来实现函数的返回。    相当于 Push eip+5 ...
JMPHook
linuxheik的专栏
10-20 1098
#include "stdio.h"   #include "tchar.h"   #include "windows.h"         //offset=目标地址-(jmp指令起始地址+5)   //指令解码:[0xe9][offset]   //  offset:有符号整型,四字节.它等于jmp指令的下一指令地址到目标地址的相对距离   //  计算公式:   // 
精选资源
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
x86架构通常使用JMPCALL指令转到Hook处理程序,而x64架构则更倾向于使用RIP相对寻址,因为x64指令集更倾向于减少绝对地址的使用。Inline Hookx64上需要考虑到更大的指令长度和寄存器使用的变化。 提供的...
学习笔记之-window hookx86 和 64 版本) 初探
退休码农的自留地
12-29 861
缘由:本来想做个微信的机器人,发现wev方法已经歇菜了,微信貌似不让web版好好工作了,因此就顺带看了一下hook技术,调试了一个网上现成的代码。竟然调试成功,并且有了一点儿体会。 为了简单起见,介绍部分,主要来自各味前辈的总结。 文章主要参考 HOOK API入门之Hook自己程序的MessageBoxW(简单入门) 本文的目的是对其中的部分代码进行更小白的解释 Hook的本意是钩子,意思比较形象,就是对应用程序勾一下,干点儿别的。 下面进入我的个人理解的介绍: hook的个人入门级理解## 1hook
X64 Iat Hook msimg32 源码
12-17
- X64架构下,函数调用通常使用RIP相对寻址,因此IAT Hook的实现相比X86更为复杂。 - 需要生成一个指令(例如,`JMP`指令)到我们的钩子函数,然后将这个指令的地址存入IAT中。 - 钩子函数执行完毕后,通常...
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
X64驱动开发和保护+X86X64游戏逆向分析课程
mutashizhe的博客
08-05 2956
老师教学范围和方式:木塔负责PC电脑端C语言基础和端游逆向分析部分内容,采用录制+部分直播课程教学,晚上还有专业老师讲解和指导。我要的是质量不是数量。老师备课,设计课件需要时间的。 学习周期:PC端3个月时间(具体根据同学们的进度) 主要内容和方向:C/C++从基础知识讲起;汇编基础和逆向;开发逆向内存FZ库框架编写;MFC界面和中控界面;逆向数据分析 ;X64逆向;驱动开发;驱动保护  学费:优惠价:4888RMB (原价6500RMB) 注释:有C语言或者C++语法基础学员可以再优惠:3
第四章——64位软件逆向技术-基本语法(上)
weixin_30677073的博客
12-10 891
1.寄存器 x64系统通用寄存器名称,第一个字母从“E”改为“R”,数量增加了8个,(R8-R15),增加了8个128位XMM寄存器(XMM寄存器用来优化代码) 用表格示意: 说明: 2.栈平衡 栈的基本入栈出栈操作和32位一样,需要注意就是在64位环境下,汇编指令对栈顶的对其值有要求,因此在VS编译器申请空间的时候,会尽力保证栈顶地址为对其值16.(被16整除)...
JMP方法HOOK
gezi322的专栏
04-14 1811
 JMP  HOOK  IAT  detours Win9x   系统中,系统DLL被装入实际的物理存储器,然后映射到每个进程的0x80000000~0xBFFFFFFF共享内存区,如果修改这段区域的DLL代码,则对于所有进程都有效(实际Win98对主要的系统DLL作了保护,除非进入ring0才能修改)。        Win2000/NT   的进程空间不存在共享内存区,尽管DLL被装入
64位下的InlineHook
weixin_30684743的博客
08-11 2129
目录 x64下手工HOOK的方法 一丶HOOK的几种方法之 1. 不影响寄存器 + 15字节方法 2. 影响寄存器 + 12字节方法 3.影响寄存器,恢复寄存器 进行转. 4. 常用 jmp + rip方式转 大小6个字节 ...
易语言X64HOOK+X64注入框架
m0_55125269的博客
03-30 2954
1.核心作者是好友 “树上的鱼儿”开发,基于eWOW64Ext作者的64位支持库,本人也根据安卓模拟器情况进行二次开发更新 2.本公开课教程征求好友原作者同意发布,视频和源码直接外群发布。请尊重原作者劳动成果,使用请署名作者。 3.想要类人猿其他更加完美稳定框架和工具,直接报名我VIP会员即可 源码下载链接: 链接:https://pan.baidu.com/s/1A-xmIXBmDPV3AJCOrhNz6w 提取码:vj1p 复制这段内容后打开百度网盘手机App,操作更方便哦 技术交流群:104448
jmp address windows hook
linuxheik的专栏
10-19 683
以下代码是sysnap早期发表的inlinehook ObReferenceObjectByHandle()的代码。大部分看懂了,但是有些看不懂,google也查了,qq群也问了。哪位高手有时间给科普下哈~ 可怜下偶们菜鸟吧。。。 __declspec(naked) T_ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK
HOOK API技术介绍
心之所向,身之所往
05-17 1397
在Windows 操作系统里面,API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多,分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。API HOOK技术是一种用于改变API执行结果的技术,例如翻译软件可以通过Hook TextOut函数或其他相关的API函数,在执行系统真正的API之前,截获TextOu
JMP/CALL指令的寻址方式
最新发布
04-03
好的,我现在需要帮用户介绍JMPCALL指令的寻址方式。首先,用户之前问过输入输出指令的寻址方法,现在转向转移指令,说明他可能在学习汇编或计算机体系结构,需要理解不同指令的寻址方式。 首先,我要回忆JMP和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值