必须要hook的位置不够5个字节怎么办

hallehyshu

我想要hook如图ebx和edi的值在call1之后,call1和call2之间没有至少5个字节的位置,在call3的位置够5个字节(call3之前ebx和edi的值未变化),但是hook EB 15040000那里进程就崩溃是啥情况,这个有没有什么办法在call1和call2之间hook啊,用的是乐易模块的hook

伊人独醉

看了乐易模块的超级HOOK源码
原始数据字节集 ＝ 内存.读字节集2 (集_进程句柄, 被hook地址, 拦截长度)
这里会把原始数据备份下来
_局部1 ＝ _局部1 ＋ 插入代码 ＋ 选择 (不还原被覆盖代码, {  }, 原始数据字节集)
不还原被覆盖代码 是一个可空参数 默认假 也就是说默认下会把原来的命令执行一下
你想在call1和call2直接HOOK完全是可以的 直接从 8B 5D F0 那个地址HOOK 长度为5 HOOK的时候会把 8B 5D F0 8B 06 也就是这两段mov在hook后执行的 hook的时候会保存所有寄存器数据的 所以不用担心

幸福长久

可以进call内hook

hallehyshu

幸福长久 发表于 2026-5-20 19:10
可以进call内hook

call内也没有合适的位置呢?我看到有的视频里,有些人家自己做的模块,好像就直接可以hook不够5个字节的位置,即,在call1和call2之间直接就hook了是怎么整的啊?在就是为啥我在call3那个位置hook会导致进程崩溃?

bttp0059

易语言HOOK不会 但OD汇编的话  你可以直接跳转到空白地址 把汇编二进制复制过去 再跳回来 就足够了

yb139

对于 HOOK 位置不够 5 字节的情况，有几种解决方案：

1. **使用相对跳转代替绝对跳转**：如果空间不足 5 字节，可以考虑使用短跳转指令

2. **在 call 内部 hook**：如楼上所说，进入 call 内部寻找合适的 hook 点

3. **使用 Trampoline 技术**：在远处分配一块内存，将原代码复制过去执行后再跳回

4. **修改函数调用方式**：如果是自己控制的代码，可以调整调用约定或参数传递方式

关于在 call3 位置 hook 导致崩溃的原因：可能是 ebx 和 edi 寄存器在 call3 之前已经被其他代码修改，或者你的 hook 代码破坏了栈平衡。hook 时要注意保存和恢复所有被使用的寄存器。

建议使用调试器仔细分析调用栈和寄存器状态，找到安全的 hook 点。

RainCharm

你是不是在写天龙游戏  HOOK地址是什么？

gzygood

再向下面加2个（8B 06） 不就5个了

将来啊

hook 8b 5d f0 8b 06 然后在你空白地址里的尾部补齐8b 06（不要改变原本esi传给eax的值就行）后跳回到53的地址就行了。超级hook的话就进入到call内部hook或者换hook点位

揰掵佲

5个字节的意思是 一行不够就2行 最少5个 如果2行超过5个 那就写具体的长度即可