WIN64上一种只需修改函数6个字节的INLINE HOOK方法

最新推荐文章于 2023-03-25 21:20:43 发布
最新推荐文章于 2023-03-25 21:20:43 发布
阅读量1k 收藏 2
点赞数
分类专栏: hook教程 奇技淫巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yes2/article/details/50917129
版权

感谢:

http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=8154

很久以前通过看雪看到这个帖子,里面提到了只需修改函数6个字节的INLINE HOOK方法,大概思路是利用函数头的前8字节的思路。

但是要求回帖可见,似乎注册门槛也挺高,就搁置了。

今天灵感突然来了,自己琢磨出来了:

jmp qword ptr [rip - 0xe]

x64下允许rip参与指令编写了,一直没能转过来弯。

非函数头的inline hook应该也可以吧,不过需要自己往前或者往后搜索8个字节的90空间。

二、C++反作弊对抗实战 (进阶篇 —— 7.函数钩子 inline Hook与对抗方法)
Koma的主页
03-04 724
提其实在前面的章节已经详细介绍过原理与实现方法,可以点击进入查看 https://blog.youkuaiyun.com/wangningyu/article/details/122926215 这里我们给出一个最简单的的方法即可轻易绕过这种inline hook。首先我们在dll函数中直接伪造一个bypass_MessageBoxW函数,并恢复被之前的机器码字节,再跳转至偏移5字节后的地址即可,实现代码如下
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3146
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
inline hook x86 x64
01-27
inline hook x86 x64 windows
x64 内核 InlineHook
qq_41490873的博客
06-27 924
需要使用LDE反汇编引擎 #include<ntddk.h> #include"LDE.h" #define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSW') #define kfree(_p) ExFreePool(_p) KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); UINT64 cr0 = __readcr0(); cr0 &= 0xff
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
Inline Hook_inlinehook_x86_x64_64HOOK_
09-28
一个Inline Hook插件
x64 Inline Hook 代码封装
热门推荐
优快云
09-11 1万+
Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持.
WIN64环境下基于SEH的单字节 Inline Hook 实现方法(C/C++)
Win64环境下, Inline Hook通常需要修改原始代码的前几个字节,并在这些字节中插入跳转指令,以便将控制权转到一个新的代码地址。 3. SEH(Structured Exception Handling) SEH是Windows下的异常处理机制,它...
Inline Hook(ring3)的简单C++实现方法
09-04
Inline Hook一种技术,用于在运行时修改程序的行为,通常是通过替换函数调用来实现。在Ring3级别,这意味着Inline Hook在用户模式下进行,这在Windows系统中是常见的实践。本文将详细探讨如何使用C++来实现一个...
And64InlineHook:适用于Android CC ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库
04-30
And64InlineHook是一个专为Android平台设计的轻量级库,主要针对C/C++开发者,用于实现ARMv8-A架构(ARM64或AArch64,Little-Endian字节序)的内联挂钩功能。这个库允许开发人员在运行时修改已编译的二进制代码的...
代码实例分析android中inline hook
08-28
Inline Hook一种常用的 Hook 技术,通过在应用程序的代码中注入一段跳转指令,实现对应用程序的控制和修改。 本文将通过一个实例代码,详细介绍 Android 中的 Inline Hook 技术的实现过程。该实例代码包括四个...
win10 x64inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4830
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
简单linux 下 x64任意地址的inlinehook
liutianheng654的博客
03-25 1536
相对主流工具frida,更加快速的inlinehook,代码简单,可以针对性进行修改
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 2176
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法
win7 x64 inline hook的尝试
Jaylon的专栏
07-11 3806
最近因为虚机性能问题,需要验证下是不是因为内核态加锁时间过长导致,所以需要在内核态hook两个内核函数:KeAcquireSpinLockAtDpcLevel和KeReleaseSpinLock,虚机的操作系统是win7 64位。所以在内核态hook,我采用inline hook的方式,有借鉴的blog:https://blog.youkuaiyun.com/u013761036/article/detail...
C++实现inline hook的原理及应用实例
09-04
Inline Hook一种强大的技术,但也需要谨慎使用,因为它涉及到对内存的直接修改,可能会引发程序稳定性问题,尤其是在系统级别的API上。同时,由于Windows的安全机制,如数据执行保护(DEP)和地址空间布局随机化...
WIN64位驱动 InLine_HOOK框架
12-28
Win64Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
Hook技术:Ring3层下的Inline Hook(mov eax xxxxxxxx;jmp eax)详解【附源码】
weixin_43742894的博客
05-02 1202
Ring3层下的Inline Hook详解 Ring3层下的Inline Hook是最常用的Hook手段之一,是一种通过修改机器码的方式来实现hook的技术。 探究API调用正常执行流程 探究Inline Hook中的函数调用过程
R3 WIN64下只修改1字节Inline Hook完整代码(C/C++)
02-19
基于SEH的R3 WIN64下只修改1字节Inline Hook完整代码 此代码在Visual Studio 2013编译通过,为了不链接到msvcr120.dll,我在工程中添加了链接至msvcrt.dll的静态库
mhook HOOK库 支持X86 X64 含Demo VS2010
03-19
mhook是一个免费的非常优秀的API HOOK库,我一直用它,现在分享给大家. mhook类似于微软的Detour库,优点是容易使用,支持X64位的CPU
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值