Tesla.Angela 发表于 2014-8-15 22:55:13

[原创]WIN64上一种只需修改函数6个字节的INLINE HOOK方法

我在教程里,公布了一种修改函数14个字节的INLINE HOOK方法。不得不说,这是一种很糟糕的HOOK法,因为需要太多空间了。这样子甚至难以实现安全HOOK,因为InterlockExchange系列函数顶多能一次性修改8个字节。

其实稍微改造一下代码,即可实现修改函数6字节的HOOK法。

以KeQueryPerformanceCounter为例,看看此函数头之前是什么样子的:
lkd> u hal!kequeryperformancecounter-8
hal!HalpScaleQueryPerformanceCounter+0x40:
fffff800`01e0a6ec 90            nop
fffff800`01e0a6ed 90            nop
fffff800`01e0a6ee 90            nop
fffff800`01e0a6ef 90            nop
fffff800`01e0a6f0 90            nop
fffff800`01e0a6f1 90            nop
fffff800`01e0a6f2 90            nop
fffff800`01e0a6f3 90            nop
前面是8个NOP,正好足够放下一个64位的地址。那么思路就是:**** Hidden Message *****具体实现的代码就自己动手写吧。

XSS 发表于 2014-8-15 23:01:49

850390626 发表于 2014-8-15 23:02:33

哈哈,学习一下

yhcyhy2010 发表于 2014-8-16 11:08:54

学习了

rkq1991 发表于 2014-8-17 12:02:16

支持一下。。看下6字节的inlinehook

马大哈 发表于 2014-8-17 17:11:36

{:soso_e179:}看见汇编头就痛啊

mlyknown 发表于 2014-8-18 11:19:29

thanks。学习了

Tesla.Angela 发表于 2014-8-18 13:58:17

mlyknown 发表于 2014-8-18 11:19
thanks。学习了

你的鼠标发疯了么?一连发了10个贴。。。

mlyknown 发表于 2014-8-19 00:08:36

Tesla.Angela 发表于 2014-8-18 13:58
你的鼠标发疯了么?一连发了10个贴。。。

。。。论坛有时候卡的很,一下谈不出来,可能多点了吧

qq569582281 发表于 2014-8-25 21:33:40

看看看看楼主的方法
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: [原创]WIN64上一种只需修改函数6个字节的INLINE HOOK方法