自定义函数头,无视IAThook

taizhong

微软公开的api函数头前5个字节通常是:
mov edi,edi
mov ebp,esp
push esp


"mov ebp,esp push esp"用于建立栈帧,但是"mov edi,edi"是什么鬼呢?
其实是预留出的位置,给用户HOOK占坑用的,作用只是起凑数作用;
既然函数头前5个字节集通常固定,那么我们就可以自定义一个函数,绕过函数头,


1  先定义全局变量,存放"MessageBoxA"+5的地址:

  

子程序名	返回值类型	公开	备 注
INI_MSG

addr_msg ＝ GetProcAddress (GetModuleHandleA (“user32.dll”), “MessageBoxA”) ＋ 5

.版本 2<br /> <br /> .子程序 INI_MSG<br /> <br /> addr_msg ＝ GetProcAddress (GetModuleHandleA (“user32.dll”), “MessageBoxA”) ＋ 5

2 自定义我们的中转函数:

  

子程序名	返回值类型	公开	备 注
TMP_MSG	整数型
参数名	类 型	参考	可空	数组	备 注
参_句柄					ebp+8
参_标题					ebp+c
参_内容					10
参_类型					14
参_地址					18

' mov eax,[ebp+18]
' jmp eax
置入代码 ({ 139, 69, 24, 255, 224 })
返回 (0)

.版本 2<br /> <br /> .子程序 TMP_MSG, 整数型<br /> .参数 参_句柄, , , ebp+8<br /> .参数 参_标题, , , ebp+c<br /> .参数 参_内容, , , 10<br /> .参数 参_类型, , , 14<br /> <br /> .参数 参_地址, , , 18<br /> <br /> ' mov eax,[ebp+18]<br /> ' jmp eax<br /> 置入代码 ({ 139, 69, 24, 255, 224 })<br /> 返回 (0)

3 定义自己的MessageBoxA函数

  

子程序名	返回值类型	公开	备 注
MY_MSG
参数名	类 型	参考	可空	数组	备 注
参_句柄					ebp+8
参_标题					ebp+c
参_内容					10
参_类型					14

如果真 (addr_msg ＝ 0)
INI_MSG ()
调试输出 (取十六进制文本 (addr_msg))
TMP_MSG (参_句柄, 参_标题, 参_内容, 参_类型, addr_msg)
置入代码 ({ 201, 194, 20, 0 })
' leave
' retn 14

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 MY_MSG<br /> .参数 参_句柄, , , ebp+8<br /> .参数 参_标题, , , ebp+c<br /> .参数 参_内容, , , 10<br /> .参数 参_类型, , , 14<br /> <br /> .如果真 (addr_msg ＝ 0)<br />     INI_MSG ()<br />     调试输出 (取十六进制文本 (addr_msg))<br /> .如果真结束<br /> TMP_MSG (参_句柄, 参_标题, 参_内容, 参_类型, addr_msg)<br /> <br /> <br /> <br /> 置入代码 ({ 201, 194, 20, 0 })<br /> ' leave<br /> ' retn 14

好了,这样就可以了,放一个按钮试一试

注意:易语言的文本型变量比较特殊,处理起来比较麻烦,
      将内容和标题定义成整数型才可以正常运行附上源码
自定义函数头.e (5.44 KB, 下载次数: 62)

2018-2-25 18:35 上传

点击文件名下载附件

风林火山ss

谢谢分享 好好学习下

supeng4676

这个等于给函数加了个壳子,脑洞挺大的,对PE文件也是够了解的.厉害厉害

asd1907

哈哈哈哈哈哈哈哈哈哈哈哈

鐵憨憨

如果调用的函数有返回，如何取！

obit125

好东西必须要支持...

obit125

好东西必须要支持，好东西

无孔不入

感谢楼主你的分享

无孔不入

感谢楼主你的分享

zzj16888

第三方采访时GV法国恢复