Tips : 这篇文章的主题是x86及x64 windows系统下的inline hook实现部分。

32位inline hook

对于系统API的hook,windows 系统为了达成hotpatch的目的,每个API函数的最前5个字节均为:

8bff   move edi,edi

55     push ebp

8bec  mov ebp,esp

其中move edi,edi这条指令是为了专门用于hotpatch而插入的,微软通过将这条指令跳转到一个short jmp,然后一个long jmp可以跳转到任意4G范围内的代码(http://blogs.msdn.com/b/oldnewthing/archive/2011/09/21/10214405.aspx),达到运行中替换dll的目的。

假设我们要求把0x12345678这个地址的函数hook,使其跳转到0x12345690,我们可以将这5个字节替换为:0xe9 (0x12345690-0x12345678-5) ,以达到跳转到0x12345690这个地址的目的(此处,注意大小端系统的区别),这条指令是相对跳转。

64位inline hook

64位系统没有了上面这样的方便之处,因此必须有一种新的策略。

64位的跳转,可用两种方法,下面两个方法都是绝对跳转指令,第一个影响rax寄存器,可能需要先保存原来的rax的值:

1,

48 b8 ef cd ab 89 67 45 23 01   mov rax, 0x0123456789abcdef
ff e0                           jmp rax

2,

0xff25 [0x00000000]

0xef cd ab 89 67 45 23 01

这里用第二种方法,将一个old_func_address的前x个字节修改为跳转到我们的new_func_address,步骤:

1,反汇编old_func_address处的指令,累加其长度,依次反汇编下去,直到长度大于12,例如为15;

2,复制这15个字节的指令,将old_func_address的前12个字节修改为:0xff25 0x00000000 new_func_address(8个字节);

3,跳转完成之后将其前15个字节还原。

这个方法要求函数长度大于15个字节,所以有一个方法用于适用于小于15字节长度的函数:

通过一个0xe9 tmp_address跳转到我们申请的空间(该空间地址与old_func_address的间隔在4G范围内,通过VirsualAlloc函数达成),在tmp_address处再long jmp(0xff25 …)。

这里贴一个得到指令长度的网址:http://bbs.pediy.com/showthread.php?t=147401,附件上传到网盘:http://pan.baidu.com/s/1o6yh1Rc

上述是我工作中用过的方法,可行。如有错误或建议,请留言,谢谢。

最新文章

  1. 苹果MacBook Air安装win7
  2. qt-creator astyle Peizhi
  3. JavaBean 动作元素事例
  4. 【MySql】权限不足导致的无法连接到数据库以及权限的授予和撤销
  5. Hadoop集群中Hbase的介绍、安装、使用
  6. [iOS基础控件 - 4.1] APP列表
  7. mysql常用的一些命令,用于查看数据库、表、字段编码
  8. Asp.net中向前端输出JS的一些调用
  9. Android UI SurfaceView的使用-绘制单个图型或多个图形
  10. 【图文】雪佛兰Suburban 美国特工标准座驾_新闻中心_易车网
  11. 多线程——@synchronized(object)
  12. 【easyui】之treegrid的分页
  13. TFboy养成记 MNIST Classification (主要是如何计算accuracy)
  14. 基于Https协议返回Jason字符串
  15. PHP代码片段
  16. 使用docker化的nginx 反向代理 docker化的GSCloud 的方法
  17. mysql进行时
  18. 自然语言交流系统 phxnet团队 创新实训 项目博客 (九)
  19. FTP协议的粗浅学习--利用wireshark抓包分析相关tcp连接
  20. Dubbo安装及其实战1

热门文章

  1. [Functional Programming] Draw Items from One JavaScript Array to Another using a Pair ADT
  2. 使用MyEclipse创建可执行jar
  3. 用table表格来调整控件的格式
  4. Genymotion 在win10 下的安装
  5. 笛卡尔树 POJ ——1785 Binary Search Heap Construction
  6. 《让LoadRunner走下神坛》
  7. javascript学习笔记(三)
  8. 工作总结 razor 接收datatable
  9. HTTP协议--cookie、session、缓存与代理
  10. UDP与TCP报文格式,字段意义