论坛广场 › WINDOWS核心编程 › [原创]WIN64上一种只需修改函数6个字节的INLINE HOOK方法

Tesla.Angela 发表于 2014-8-15 22:55:13

[原创]WIN64上一种只需修改函数6个字节的INLINE HOOK方法

我在教程里，公布了一种修改函数14个字节的INLINE HOOK方法。不得不说，这是一种很糟糕的HOOK法，因为需要太多空间了。这样子甚至难以实现安全HOOK，因为InterlockExchange系列函数顶多能一次性修改8个字节。

其实稍微改造一下代码，即可实现修改函数6字节的HOOK法。

以KeQueryPerformanceCounter为例，看看此函数头之前是什么样子的：
lkd> u hal!kequeryperformancecounter-8
hal!HalpScaleQueryPerformanceCounter+0x40:
fffff800`01e0a6ec 90            nop
fffff800`01e0a6ed 90            nop
fffff800`01e0a6ee 90            nop
fffff800`01e0a6ef 90            nop
fffff800`01e0a6f0 90            nop
fffff800`01e0a6f1 90            nop
fffff800`01e0a6f2 90            nop
fffff800`01e0a6f3 90            nop
前面是8个NOP，正好足够放下一个64位的地址。那么思路就是：**** Hidden Message *****具体实现的代码就自己动手写吧。

XSS 发表于 2014-8-15 23:01:49

850390626 发表于 2014-8-15 23:02:33

哈哈，学习一下

yhcyhy2010 发表于 2014-8-16 11:08:54

学习了

rkq1991 发表于 2014-8-17 12:02:16

支持一下。。看下6字节的inlinehook

马大哈 发表于 2014-8-17 17:11:36

{:soso_e179:}看见汇编头就痛啊

mlyknown 发表于 2014-8-18 11:19:29

thanks。学习了

Tesla.Angela 发表于 2014-8-18 13:58:17

mlyknown 发表于 2014-8-18 11:19
thanks。学习了

你的鼠标发疯了么？一连发了10个贴。。。

mlyknown 发表于 2014-8-19 00:08:36

Tesla.Angela 发表于 2014-8-18 13:58
你的鼠标发疯了么？一连发了10个贴。。。

。。。论坛有时候卡的很，一下谈不出来，可能多点了吧

qq569582281 发表于 2014-8-25 21:33:40

看看看看楼主的方法

zdy_ruoshui 发表于 2014-8-30 20:31:17

看一下是什么思路

xiaomo 发表于 2014-9-1 07:01:57

看下思路

wangmin1944 发表于 2014-9-2 15:53:51

Bambo 发表于 2014-9-10 16:42:24

没有能力提供有意义的内容，只能学习，版主请谅解。

Bambo 发表于 2014-9-10 16:43:45

思路果然有意思，哈哈哈哈。

Bambo 发表于 2014-9-10 16:45:16

能不能引申为，在程序中找一个空隙块，填写跳转的代码，然后函数中做短跳转到这段代码？

jzy1115 发表于 2014-9-12 09:58:13

看看了。。。

refund 发表于 2014-9-18 04:25:27

瞧瞧

wondayer 发表于 2014-9-19 00:08:37

看看TA大牛的思路

hulixisi 发表于 2014-9-21 01:06:07

在看雪看到有不用hook的方法

jgyolm 发表于 2014-9-30 13:47:54

let me se se

ugvjewxf 发表于 2014-10-13 07:23:41

思路万岁，学习来的，想学习下怎么INLINE HOOK 内核函数

hon3389 发表于 2014-10-23 11:26:50

lizhuowu 发表于 2014-10-24 23:03:51

WIN64上一种只需修改函数6个字节的INLINE HOOK方法~~~~~~~~~~~~~

ganboing 发表于 2014-10-26 03:53:08

感谢分享

gcyun 发表于 2014-10-29 20:35:10

test

virus_kf 发表于 2014-10-30 14:54:18

这个事hotpatch啊

yuweiping 发表于 2014-11-4 15:29:35

感谢主楼。。。。。

5ak 发表于 2014-11-9 15:54:03

谢谢给了这个好方法

baohongyu 发表于 2014-11-15 09:40:21

顶下顶下....

basketwill 发表于 2014-12-23 15:04:28

学习 方法了

huangchao209 发表于 2014-12-23 22:13:36

跟着看看，学习下

查看完整版本: [原创]WIN64上一种只需修改函数6个字节的INLINE HOOK方法