浅谈64位进程远程hook技术及64模块导出表的一些变化，附源码

灰灰君

准确的说是八九年前

树上的鱼儿

呵呵呵666 发表于 2021-2-15 05:10
请问大佬是不是就是hook地址上的那条指令不足6字节长度就要加上下一条指令的长度（如果不够就还要加上下 ...

对，一条或多条完整的指令必须大于等于6字节，多长参数就设置多长

呵呵呵666

树上的鱼儿 发表于 2021-2-15 00:00
差不多就是这个意思，HOOK需要把HOOK位置的指令改成JMP跳转到目标进程申请空间内，而这条指令JMP[RIP]占用 ...

请问大佬是不是就是hook地址上的那条指令不足6字节长度就要加上下一条指令的长度（如果不够就还要加上下下面一条的直到加够）如果足够6字节就直接填那条指令的长度

树上的鱼儿

呵呵呵666 发表于 2021-2-14 23:37
长度是指的要替换成jmp的那条指令的长度吗

差不多就是这个意思，HOOK需要把HOOK位置的指令改成JMP跳转到目标进程申请空间内，而这条指令JMP[RIP]占用6字节，所以HOOK长度不能小于6字节，最好进调试器查看HOOK位置处完整代码是否够6字节，不够就往下加一条指令，在不够在加一条，依次类推，如果3条指令正好6字节那么HOOK长度就是6，假如hook位置指令占用7字节，那么长度就是7，程序会改写此处代码为JMP跳转6字节，多余的1字节源码内会自动处理，自动填充空指令也就是NOP，这样才不会打乱原代码指令，如果提供的HOOK长度乱填，会导致目标程序经过时崩溃，具体可以查看帖子内那张HOOK位置的贴图

呵呵呵666

树上的鱼儿 发表于 2021-2-14 20:57
朋友我只能说对于HOOK的情况，因为面对的是机器码，所以要懂一点基础的汇编知识方能如掌握神器无坚不摧， ...

长度是指的要替换成jmp的那条指令的长度吗

宇宙浩瀚

新技能已get√

z博士

厉害 读完受益匪浅！

树上的鱼儿

创世之神 发表于 2021-2-14 20:34
话说，大佬~ Hook长度要怎么算呀~ 系统API的~ 不会用OD（整半天HOOK，才发现，要注入的程序是64位的{:7_4 ...

朋友我只能说对于HOOK的情况，因为面对的是机器码，所以要懂一点基础的汇编知识方能如掌握神器无坚不摧，所以能熟练的使用调试器是必须的，这样才能理解HOOK的意义和执行的流程，关于HOOK长度这要看你HOOK的目的，比如32位AIP hook一般在函数头部即可且一般为5字节都可以，因为32位函数头一般为push等占用1字节汇编指令，而64位则情况不定，一般头部位抬栈指令等，所以要定义HOOK长度必须经过调试器的打开，看清楚位置的汇编指令，长度根据HOOK处汇编长度来定义，看HOOK功能最小支持多长，假如是6字节那么在HOOK位置的指令要够6字节，假如一条指令不够就增加一条指令直至6字节，假如超过6字节，也无关系，参数中定义HOOK长度，总而言之，HOOK长度是由每条完整指令构成的，我不知道我这样解释你能不能理解，如果不能理解的话请朋友暂时放弃关于这项内容的研究，如若有兴趣可增强自身汇编能力，到时自然一通百通，我只能说，对于我这个开源帖中64位远程HOOK中的使用不适合无汇编基础的朋友，因为这个封装太自由了，我这个封装不是面对基础用户的，因为在封装之初我不想为了适应基础用户来阉割这个功能，自由性才能展现无线可能，才能应对各种情况与要求

元老

树上的鱼儿 发表于 2021-2-14 11:09
跟什么系统没有关系，模块中的列子只给了写法，用的时候要根据hook位置的情况来，长度不能定义错，要实现 ...

话说，大佬~ Hook长度要怎么算呀~ 系统API的~ 不会用OD（整半天HOOK，才发现，要注入的程序是64位的）

网络注册会员

高大上啊