关于NB模块内的硬件断点HOOK卡死问题

li609545570

无意中下载了NB的模块 发现NB模块有硬件断点HOOK
就顺便研究了下 NB模块里的硬件断点HOOK
发现在某无任何检测的SF 会卡死 不知道为什么
有懂得可告知下哦 写法如下图

这样写有什么不对的吗  NB模块作者 冰棍好烫写的X64的例子 也是这样写的呢
不知道为什么就是会卡死 掉线！

dnxl

就比如我要拦截MessageBoxA

先看看函数头指令

mov edi,edi  2字节
push ebp     1字节
mov ebp,esp 2字节
回调处理完最少要跳到  cmp dword ptr[user32.gSharedInfo+28c],00执行，应该怎么做呢，
第一个指令mov edi,edi没有用不管，
第二个指令push ebp  也就是esp-4 然后把ebp的值写到esp+0处.
第三个指令mov ebp,esp 这个简单，就是ebp=esp
最后EIP跳过这几个指令（5字节）也就是EIP=EIP+5
由此可得处理函数

下面是弹窗内容被改变了

dnxl

这是TR模块不是NB，这个硬件断点HOOK回调处理比较复杂（模拟原生的处理函数没加封装），我写这代码时也没过多测试有可能存在BUG。
不过你这种情况是回调处理没到位。
1，回调处理好以后返回-1告诉系统这个异常已经处理了，以免有其他异常抓取程序继续处理。
2，断点处地址存在EIP/RIP内，回调处理完如果不改变EIP/RIP就会继续在断点处执行又会被断下来循环（所谓卡死）
3，要改变EIP/RIP（往前跳最少4字节执行代码）那跳过的这些指令要自行在回调里补全，或者在回调中改变断点位置，在新位置断下来再改回来

li609545570

dnxl 发表于 2025-8-8 15:45
就比如我要拦截MessageBoxA

先看看函数头指令

感谢您的解答