人辞大佬的 X64内存读写 hook的例子有吗？

独倚斜阳

X64进程内存 用的人辞大佬的模块，里面的开始hook 没找到范例。。。模块原贴：

https://bbs.125.la/forum.php?mod ... B%E5%86%85%E5%AD%98

不清楚hook的子程序指针  有哪些参数 每个参数是啥 谁来个他这个模块子程序指针的例子？

  

子程序名	返回值类型	公开	备 注
HOOK_安装	逻辑型
参数名	类 型	参考	可空	数组	备 注
函数地址	长整数型
子程序指针	子程序指针

变量名	类 型	静态	数组	备 注
中转指令	字节集

' mov [rsp+8],rcx
' mov [rsp+10],rdx
' mov [rsp+18],r8
' mov [rsp+20],r9
' lea rax,[rsp+8]
' push rax
' #X64_End
' mov eax,子程序指针
' call eax
' #X64_Start
' mov [ebp-8],eax
' mov [ebp-4],edx
' mov rax,[ebp-8]
' ret
中转指令 ＝ { 72, 137, 76, 36, 8, 72, 137, 84, 36, 16, 76, 137, 68, 36, 24, 76, 137, 76, 36, 32, 72, 141, 68, 36, 8, 80 } ＋ #X64_End ＋ { 184 } ＋ 到字节集 (到整数 (子程序指针)) ＋ { 255, 208 } ＋ #X64_Start ＋ { 137, 193, 72, 137, 208, 72, 193, 224, 32, 137, 200, 195 }
中转函数 ＝ VirtualAllocEx64 (-1, 0, 取字节集长度 (中转指令), 4096, 64)
如果真 (中转函数 ＝ 0)
返回 (假)
写到内存64 (中转函数, 中转指令)
如果真 (VirtualProtectEx64 (-1, 函数地址, 12, 64, 0) ＝ 假)
返回 (假)

入口指令 [1] ＝ 取空白字节集 (12)
ReadProcessMemory64 (-1, 函数地址, lstrcpyn_字节集 (入口指令 [1], 入口指令 [1], 0), 12, 0)
入口指令 [2] ＝ { 72, 184 } ＋ 到字节集 (中转函数) ＋ { 80, 195 }
入口地址 ＝ 函数地址
写到内存64 (函数地址, 入口指令 [2])
返回 (真)

.版本 2<br /> <br /> .子程序 HOOK_安装, 逻辑型, 公开<br /> .参数 函数地址, 长整数型<br /> .参数 子程序指针, 子程序指针<br /> .局部变量 中转指令, 字节集<br /> <br /> ' mov [rsp+8],rcx<br /> ' mov [rsp+10],rdx<br /> ' mov [rsp+18],r8<br /> ' mov [rsp+20],r9<br /> ' lea rax,[rsp+8]<br /> ' push rax<br /> ' #X64_End<br /> ' mov eax,子程序指针<br /> ' call eax<br /> ' #X64_Start<br /> ' mov [ebp-8],eax<br /> ' mov [ebp-4],edx<br /> ' mov rax,[ebp-8]<br /> ' ret<br /> 中转指令 ＝ { 72, 137, 76, 36, 8, 72, 137, 84, 36, 16, 76, 137, 68, 36, 24, 76, 137, 76, 36, 32, 72, 141, 68, 36, 8, 80 } ＋ #X64_End ＋ { 184 } ＋ 到字节集 (到整数 (子程序指针)) ＋ { 255, 208 } ＋ #X64_Start ＋ { 137, 193, 72, 137, 208, 72, 193, 224, 32, 137, 200, 195 }<br /> 中转函数 ＝ VirtualAllocEx64 (-1, 0, 取字节集长度 (中转指令), 4096, 64)<br /> .如果真 (中转函数 ＝ 0)<br />     返回 (假)<br /> .如果真结束<br /> 写到内存64 (中转函数, 中转指令)<br /> <br /> .如果真 (VirtualProtectEx64 (-1, 函数地址, 12, 64, 0) ＝ 假)<br />     返回 (假)<br /> .如果真结束<br /> <br /> 入口指令 [1] ＝ 取空白字节集 (12)<br /> ReadProcessMemory64 (-1, 函数地址, lstrcpyn_字节集 (入口指令 [1], 入口指令 [1], 0), 12, 0)<br /> <br /> 入口指令 [2] ＝ { 72, 184 } ＋ 到字节集 (中转函数) ＋ { 80, 195 }<br /> 入口地址 ＝ 函数地址<br /> <br /> 写到内存64 (函数地址, 入口指令 [2])<br /> 返回 (真)

dnxl

独倚斜阳 发表于 2024-11-12 01:08
问题核心是这里  CE的注入  第一个占用5个字节 就是我现在用易语言写的跳转，如果用第二占用14字节的也要出 ...

cc是INT3断点，代码运行到这里会产生异常，跳到异常处理函数里，不是jmp之类的跳转
其实这个地址用5字节跳转也是可行的，12字节就把下面函数的代码给破坏了，或者用12字节，HOOK上移两个指令也行，跳到地方把占用的指令还原就行，后面是ret就不用跳回来了呗

dnxl

这个是hook自进程64位函数，跟你最近几个问题不粘边。
这种hook一般人玩不转，也没必要

独倚斜阳

dnxl 发表于 2024-11-12 00:14
这个是hook自进程64位函数，跟你最近几个问题不粘边。
这种hook一般人玩不转，也没必要 ...

我刚翻出来以前的魔鬼vip  也就是那个超级hook 想直接拦截edx给他赋值 然后发现64位 hook不了


跳转内部
7FF607EB0000 - BA 00004842           - mov edx,42480000
7FF607EB0005 - 89 11                 - mov [rcx],edx
7FF607EB0007 - E9 A09FED00           - jmp XXXX.exe+CE9FAC



ce的自动汇编 生成的代替原来mov [rcx],edx的跳转地址  只有一个字节啊 CC   我用代码写 基本上不管是近跳，远跳，还是绝对地址跳 都起码占用5个字节，
我就是这一步出错的 一写这个jmp就崩了。    我在这个内存地址  去写字节集 然后也像他这样填空nop之类的 就会把原来代码的
ret
int3
int3
之类的 占用了。。。这2天都卡在这里

独倚斜阳

问题核心是这里  CE的注入  第一个占用5个字节 就是我现在用易语言写的跳转，如果用第二占用14字节的也要出问题
（上面2种都崩），只有选第三个占用一个字节的 jmp1 +地址 跳转才正常，但是我不知道怎么写字节集 代替原来的内容 让跳转只占用一个字节！

独倚斜阳

dnxl 发表于 2024-11-12 01:25
cc是INT3断点，代码运行到这里会产生异常，跳到异常处理函数里，不是jmp之类的跳转
其实这个地址用5字节 ...

我用5字节的跳转

目标地址里面

mov edx,42480000
mov [rcx],edx
ret
int 3
int 3
加或者不加jmp回来 都报错

报错应该是最初第一次跳转造成的

dnxl

独倚斜阳 发表于 2024-11-12 01:30
我用5字节的跳转

目标地址里面

那你不会下断跟一下是哪步报错

独倚斜阳

dnxl 发表于 2024-11-12 01:37
那你不会下断跟一下是哪步报错

我用5字节的 从上一行开始跳 这样ce里面正常了  我去写成易语言……

独倚斜阳

折腾好久 用 大杂烩的nb模块  新超级HOOK.开始HookEx_64  搞定了 能正常跳了 不过模块bug不少