如何hook小于5个字节的地址

Luna0611

asd9988 发表于 2022-11-7 08:56
我似乎可以理解成里面的那个子程序回调里面有东西,(易语言在编译头文件的情况下,会导致这种问题似乎)
本来 ...

我试了两种置入代码的写法，每次都会注释掉一种的。 按照我的理解，hook后执行完自己的代码，还是会跳回到hook的地方继续执行，如果我自己再写一次mov eax,dword ptr ds:[eax+0x10]，跳回来时候是不是重复执行了？

asd9988

Luna0611 发表于 2022-11-7 10:04
我试了两种置入代码的写法，每次都会注释掉一种的。 按照我的理解，hook后执行完自己的代码，还是会跳回 ...

感觉没啥必要调回去，你下面call了之后直接返回了，你也可以在这里面写返回

794229345

最简单据说换个地方hook。或者使用Int3异常处理和无痕hook

Luna0611

南风知意 发表于 2022-11-6 20:55
1.附件找个合适地址做个短跳转，再长跳到回调函数
2.hook前面的地址，修复指令即可 ...

address ＝ 集_VXjz ＋ 十六进制 (“598E3A”)
code ＝ { 232 } ＋ 到字节集 (到整数 (取子程序真实地址 (&HOOK_消息回调) － address － 5))
res ＝ 内存.写字节集 (进程_取自进程ID (), address, code)


.子程序 HOOK_消息回调

' mov eax,dword ptr ds:[eax+0x10]
' call eax
置入代码 ({ 139, 64, 16, 255, 208 })

信息框 (“我被hook了”, 0, , )



我现在是这样写的，用了前面的三个字节。现在的情况是注入之后，能弹出“我被hook了”的信息框，但是确定之后，vx就直接崩溃了。麻烦请教一下，我在自己的回调子程序里需要怎么样才能修复，才是正确的？

1151047314

我记得有一个有一个帖子用的drx硬件hook楼主有时间可以去看一看

南风知意

Luna0611 发表于 2022-11-7 12:41
address ＝ 集_VXjz ＋ 十六进制 (“598E3A”)
code ＝ { 232 } ＋ 到字节集 (到整数 (取子程序真实地址  ...

你不回跳回去？寄存器不保护？

Luna0611

南风知意 发表于 2022-11-7 18:52
你不回跳回去？寄存器不保护？

我现在是jmp到自己的回调函数中，如果我的回调函数是这么写的：
mov eax,dword ptr ds:[eax+0x10]
call eax

这两句是被我占用的5个字节，OD里面反汇编出来的是这样的：
100036B6    55              push ebp
100036B7    8BEC            mov ebp,esp
100036B9    8B40 10         mov eax,dword ptr ds:[eax+0x10]          ;
100036BC    FFD0            call eax
100036BE    8BE5            mov esp,ebp
100036C0    5D              pop ebp                                  ;
100036C1    C3              retn

看起来很正常。 但是在OD debug时候发现，进入到
push ebp这一行时esp里的数据还是正常的，但是走过这一步之后esp就变了。
导致call eax崩溃。

我理解的
push ebp
mov ebp, esp
是将esp存入ebp保护起来，但是为什么push ebp之后esp里面的数据就变了呢？

lcb

最后这么搞定的 ??????

lcb