HOOK函数ReadProcessMemory后，如何读取数据？

dzscuz · 发表于 2023-11-14 03:45:46

如题，HOOK函数ReadProcessMemory的函数头后，如何读取他读取了什么内容？

dzscuz · 发表于 2023-11-15 02:32:21

dnxl 发表于 2023-11-14 19:28
ReadProcessMemory最终调用ntdll.NtReadVirtualMemory,一样的参数，都不需要还原，直接用NtReadVirtualMemo ...

您的意思，直接HOOK函数NtReadVirtualMemory，然后直接读取就可以了？

dnxl · 发表于 2023-11-14 19:28:25

ReadProcessMemory最终调用ntdll.NtReadVirtualMemory,一样的参数，都不需要还原，直接用NtReadVirtualMemory不就行了

恶魔の佐翼 · 发表于 2023-11-14 13:52:48

HOOK后跳转函数里面弄5个参数,那参数就是你的HOOK后想要的,当然前提是需要注入进去

安慕希ii · 发表于 2023-11-14 12:19:22

#include <iostream>
#include <windows.h>
#include <detours.h>

BYTE OriginalReadProcessMemory[1024]; // 保存原始ReadProcessMemory函数的代码
BYTE NewReadProcessMemory[1024]; // 保存自定义的ReadProcessMemory函数代码

BOOL DetourReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesRead) {
// 在这里实现自定义逻辑，例如修改参数、读取内存、调用原始函数等

// 调用原始ReadProcessMemory函数
BOOL result = OriginalReadProcessMemory(hProcess, lpBaseAddress, lpBuffer, nSize, lpNumberOfBytesRead);

// 在这里实现自定义逻辑，例如修改返回值、修改数据等

return result;
}

int main() {
// 初始化Detours
DetourRestoreAfterWith();

// 保存原始ReadProcessMemory函数的代码
DWORD oldProtect;
VirtualProtect(NewReadProcessMemory, sizeof(NewReadProcessMemory), PAGE_EXECUTE_READWRITE, &oldProtect);
memcpy(NewReadProcessMemory, (void*)ReadProcessMemory, sizeof(OriginalReadProcessMemory));
VirtualProtect(NewReadProcessMemory, sizeof(NewReadProcessMemory), oldProtect, &oldProtect);

// Hook ReadProcessMemory函数
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourAttach(&(PVOID&)ReadProcessMemory, DetourReadProcessMemory);
DetourTransactionCommit();

// 在这里测试Hook，例如调用ReadProcessMemory函数

// 恢复原始ReadProcessMemory函数
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourDetach(&(PVOID&)ReadProcessMemory, DetourReadProcessMemory);
DetourTransactionCommit();

return 0;
}

这是C++例子