开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 2397|回复: 7
收起左侧

[图文资料] 初级逆向:hook子程序的返回值

[复制链接]
结帖率:100% (86/86)
发表于 2017-10-10 19:07:33 | 显示全部楼层 |阅读模式   北京市北京市
本帖最后由 taizhong 于 2017-10-10 19:40 编辑

上一个帖子
初级逆向:hook的原理
https://bbs.125.la/forum.php?mod=viewthread&tid=14077444&extra=
了解了hook的原理
这次来hook带参数的子程序



贴出代码
============

  
窗口程序集名保 留  保 留备 注
窗口程序集_窗口1   
子程序名返回值类型公开备 注
_按钮1_被单击  
编辑框2.内容 = 修复一下 (编辑框1.内容)
子程序名返回值类型公开备 注
修复一下文本型 
参数名类 型参考可空数组备 注
参_文本文本型
变量名类 型静态数组备 注
局_位置整数型 
局_文本文本型 
局_位置 = 寻找文本 (参_文本, “[”, , )
如果真 (局_位置 ≠ -1)
局_文本 = 文本替换 (参_文本, 局_位置 - 1, 1, “”)
返回 (局_文本)
返回 (参_文本)


界面
1.BMP

============
取子程序真实地址()命令,无法找到带参数的子程序地址,只能手动找了,,
调用"修复一下"子程序,并且push一个参数
2.BMP


进去看一看:
3.BMP

00401661  /$  55            push ebp                                 ;  入口点
00401662  |.  8BEC          mov ebp,esp
00401664  |.  81EC 1C000000 sub esp,0x1C     ;堆栈指针偏移28个字节
0040166A  |.  C745 FC 00000>mov [local.1],0x0
00401671  |.  C745 F8 00000>mov [local.2],0x0
00401678  |.  68 02000080   push 0x80000002
0040167D  |.  6A 00         push 0x0
0040167F  |.  68 00000000   push 0x0
00401684  |.  6A 00         push 0x0
00401686  |.  6A 00         push 0x0
00401688  |.  6A 00         push 0x0
0040168A  |.  68 04000080   push 0x80000004
0040168F  |.  6A 00         push 0x0
00401691  |.  68 C2AA4600   push 带参数1.0046AAC2                       ;  UNICODE "["
00401696  |.  68 04000080   push 0x80000004
0040169B  |.  6A 00         push 0x0
0040169D  |.  8B5D 08       mov ebx,[arg.1]         ;mov ebx,dword ptr ss:[ebp+0x8]
004016A0  |.  8B03          mov eax,dword ptr ds:[ebx]   ;将参数的地址放入EAX
004016A2  |.  85C0          test eax,eax            ;判断EAX是否为空
004016A4  |.  75 05         jnz short 带参数1.004016AB
004016A6  |.  B8 C4AA4600   mov eax,带参数1.0046AAC4



============
好了,关键代码段找到了,就是这句:
004016A0  |.  8B03          mov eax,dword ptr ds:[ebx]   ;将参数的地址放入EAX
提前修改成ebx的值,这句有两个字节,修改后的代码也只能是两个字节,不然程序就出错
但是jmp XXXX,占用5个字节,有点麻烦,往上找一句,从0040169D开始,正好够5个字节让我们修改了
0040169D  |.  8B5D 08       mov ebx,[arg.1]         ;mov ebx,dword ptr ss:[ebp+0x8]
004016A0  |.  8B03          mov eax,dword ptr ds:[ebx]   ;将参数的地址放入EAX
004016A2  |.  85C0          test eax,eax            ;判断EAX是否为空


----------
所以0040169D 此处修改为jmp XXXX 跳转代码
XXXX处的汇编代码应该包含如下功能代码
mov eax ,变量的地址
jmp 004016A2  ;跳回来原子程序,继续执行下一条语句
地址XXXX,可以使用"申请内存"来得到,用来存放代码
"mov eax" 转化为字节集指令 是{199,192}
"jmp 004016A2" 转化为字节集指令是{ 233, 157, 22, 63, 0 }
代码段就有了:
{ 199, 192 } + 到字节集 (局_地址) + { 233, 157, 22, 63, 0 }
写到XXXX地址处就可以了
----------
新建一个hook子程序
  
子程序名返回值类型公开备 注
_按钮_hook_被单击  
参数名类 型参考可空数组备 注
局_文本文本型
局_地址整数型
局_申请整数型
局_申请 = 申请内存 (100, )
局_文本 = “哎呀,我被hook了”
局_地址 = 取变量数据地址 (局_文本)
' 调试输出 ({ 199, 192 } + 到字节集 (局_地址){ 233, 157, 22, 63, 0 })
内存.写字节集 (进程ID, 局_申请, { 199, 192 }到字节集 (局_地址){ 233, 157, 22, 63, 0 }) ' 写入跳转后的代码
Hook (40169, 局_申请) ' jmp 跳转



i支持库列表   支持库注释   
spec特殊功能支持库


============
运行,发现错误,原来是
Hook (40169, 局_申请)
的原因,进制搞错了,改为:
Hook (进制_十六到十 (“40169”), 局_申请)




============
好了,你自己试一下吧,,,


我反正是没是成功,,,,




4.BMP

发表于 2019-10-12 17:08:43 | 显示全部楼层   浙江省宁波市
来看看hook学习一下
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)
发表于 2017-10-10 21:25:41 | 显示全部楼层   广东省潮州市
taizhong 发表于 2017-10-10 20:52
理论上是可以的,
实际操作有些麻烦,,,

。。~需要深度学习了!研究出来希望能发个教程共同学习下哦
回复 支持 反对

使用道具 举报

结帖率:100% (86/86)
 楼主| 发表于 2017-10-10 20:52:49 | 显示全部楼层   北京市北京市
xdm1957 发表于 2017-10-10 20:51
没成功你还发出来=。=~~

理论上是可以的,
实际操作有些麻烦,,,

给大家提供个思路,,,
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)
发表于 2017-10-10 20:51:38 | 显示全部楼层   广东省潮州市
taizhong 发表于 2017-10-10 20:33
我也没有实验成功,,,,,
下个帖子,继续

没成功你还发出来=。=~~
回复 支持 反对

使用道具 举报

结帖率:100% (86/86)
 楼主| 发表于 2017-10-10 20:34:09 | 显示全部楼层   北京市北京市
xdm1957 发表于 2017-10-10 20:31
没效果呀~= =自己试了试

我也没有实验成功,,,,,
下个帖子,继续

回复 支持 反对

使用道具 举报

结帖率:100% (86/86)
 楼主| 发表于 2017-10-10 20:33:50 | 显示全部楼层   北京市北京市
xdm1957 发表于 2017-10-10 20:31
没效果呀~= =自己试了试

我也没有实验成功,,,,,
下个帖子,继续

回复 支持 反对

使用道具 举报

结帖率:100% (2/2)
发表于 2017-10-10 20:31:30 | 显示全部楼层   广东省潮州市
没效果呀~= =自己试了试
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表