浅谈64位进程远程hook技术及64模块导出表的一些变化，附源码

呵呵呵666 · 发表于 2021-2-14 23:37:34

树上的鱼儿发表于 2021-2-14 20:57
朋友我只能说对于HOOK的情况，因为面对的是机器码，所以要懂一点基础的汇编知识方能如掌握神器无坚不摧， ...

长度是指的要替换成jmp的那条指令的长度吗

宇宙浩瀚 · 发表于 2021-2-14 23:05:45

新技能已get√

z博士 · 发表于 2021-2-14 22:26:52

厉害读完受益匪浅！

树上的鱼儿 · 发表于 2021-2-14 20:57:41

创世之神发表于 2021-2-14 20:34
话说，大佬~ Hook长度要怎么算呀~ 系统API的~ 不会用OD（整半天HOOK，才发现，要注入的程序是64位的{:7_4 ...

朋友我只能说对于HOOK的情况，因为面对的是机器码，所以要懂一点基础的汇编知识方能如掌握神器无坚不摧，所以能熟练的使用调试器是必须的，这样才能理解HOOK的意义和执行的流程，关于HOOK长度这要看你HOOK的目的，比如32位AIP hook一般在函数头部即可且一般为5字节都可以，因为32位函数头一般为push等占用1字节汇编指令，而64位则情况不定，一般头部位抬栈指令等，所以要定义HOOK长度必须经过调试器的打开，看清楚位置的汇编指令，长度根据HOOK处汇编长度来定义，看HOOK功能最小支持多长，假如是6字节那么在HOOK位置的指令要够6字节，假如一条指令不够就增加一条指令直至6字节，假如超过6字节，也无关系，参数中定义HOOK长度，总而言之，HOOK长度是由每条完整指令构成的，我不知道我这样解释你能不能理解，如果不能理解的话请朋友暂时放弃关于这项内容的研究，如若有兴趣可增强自身汇编能力，到时自然一通百通，我只能说，对于我这个开源帖中64位远程HOOK中的使用不适合无汇编基础的朋友，因为这个封装太自由了，我这个封装不是面对基础用户的，因为在封装之初我不想为了适应基础用户来阉割这个功能，自由性才能展现无线可能，才能应对各种情况与要求