12 / 2 页

论坛徽章:: 0

11楼 [报告]

发表于 2010-03-25 12:48 |只看该作者

#if 0
      *(unsigned char*)addfirst=(unsigned char)0xff;
      *(((unsigned char*)addfirst) +1)=(unsigned char)0x25;
            //下面是把second函数的地址写入到jmp指令后面
      DWORD lpnew=(DWORD)&second;
      memcpy((void*)(addfirst+2),(const void *)&lpnew,sizeof(DWORD));
#else
//mov eax, XXXXXXXX
//jmp eax
*(unsigned char*)addfirst    = 0xb8;
*(unsigned int *)(addfirst+1) = (DWORD)&second;
*(unsigned short *)(addfirst+5) = 0xe0ff;
#endif

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

li574000

白手起家

论坛徽章:: 0

12楼 [报告]

发表于 2010-03-25 16:12 |只看该作者

本帖最后由 li574000 于 2010-03-25 16:27 编辑

#if 0
*(unsigned char*)addfirst=(unsigned char)0xff;
*(((unsigned char*)addfirst) ...
prc 发表于 2010-03-25 12:48

谢谢，试验了下，可以执行。代码的意思是mov eax second的地址,然后jmp [eax]，这样确实可以执行。但是为什么我以前的代码却不能够执行哪

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

OwnWaterloo

实习版主

论坛徽章:: 2

13楼 [报告]

发表于 2010-03-25 16:23 |只看该作者

这里应该是near jmp， 0xe9。

#include <stddef.h>
#include <stdio.h>
#include <string.h>
#include <windows.h>
void victim(int i) {
printf("victim(%d);\n", i);
}
void hack(int i) {
printf("hack(%d);\n", i);
}
int main()
{
void (* victim_)(int) = victim;
void (* hack_)(int) = hack;
printf("enter victim\n");
victim_(1212);
printf("leave victim\n\n");
printf("enter hack\n");
hack_(1212);
printf("leave hack\n\n");
DWORD old = 0;
VirtualProtect(victim, 5, PAGE_EXECUTE_READWRITE, &old);
*reinterpret_cast<unsigned char*>(victim_) = 0xe9;
ptrdiff_t offset = reinterpret_cast<ptrdiff_t>(hack_)
- reinterpret_cast<ptrdiff_t>(victim_)
- 5;
memcpy( reinterpret_cast<char*>(victim)+1, &offset, 4);
printf("enter victim\n");
victim_(1212);
printf("leave victim\n\n");
}

复制代码

如果victim入口是 jmp victim_impl或者 call victim_impl，那就可以将这5个字节修改，使得其跳转到hack， hack再跳转到victim_impl。

但这是没有保证的（至少在上述代码中），有可能victim的入口之后，就直接是真正的代码，没有那一层多余的跳转。
所以victim被修改之后，就不能执行victim原来的代码了。
不能 victim -> hack -> victim_impl。

我大概知道你想干什么……
Windows下的dll好像会留一个stub，就是jmp victim_impl的形式，就可以victim -> hack -> victim_impl。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

li574000

白手起家

论坛徽章:: 0

14楼 [报告]

发表于 2010-03-25 16:29 |只看该作者

谢谢各位，我再思考下

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

OwnWaterloo

实习版主

论坛徽章:: 2

15楼 [报告]

发表于 2010-03-25 16:38 |只看该作者

回复 12# li574000

b8 xx xx xx xx, mov eax xx xx xx xx
ff e0, jmp eax

复制代码

懂了吧？

#include <stddef.h>
#include <stdio.h>
#include <string.h>
#include <windows.h>
void victim(int i) {
printf("victim(%d);\n", i);
}
void hack(int i) {
printf("hack(%d);\n", i);
}
int main()
{
void (* victim_)(int) = victim;
void (* hack_)(int) = hack;
unsigned char* victim_p = reinterpret_cast<unsigned char*>(victim);
printf("enter victim\n");
victim_(1212);
printf("leave victim\n\n");
printf("enter hack\n");
hack_(1212);
printf("leave hack\n\n");
DWORD old = 0;
VirtualProtect(victim_p, 7, PAGE_EXECUTE_READWRITE, &old);
victim_p[0] = 0xb8;
ptrdiff_t hack_p = reinterpret_cast<ptrdiff_t>(hack);
memcpy(victim_p+1, &hack_p, 4);
victim_p[5] = 0xff;
victim_p[6] = 0xe0;
printf("enter victim\n");
victim_(1212);
printf("leave victim\n\n");
}

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

li574000

白手起家

论坛徽章:: 0

16楼 [报告]

发表于 2010-03-25 16:46 |只看该作者

楼上的代码我清楚了，不清楚的是我从书上抄的那段代码为什么不行，看上去没什么本质区别oxff25也是一个
跳转指令

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

OwnWaterloo

实习版主

论坛徽章:: 2

17楼 [报告]

发表于 2010-03-25 16:56 |只看该作者

回复 16# li574000

操作数的寻址方式不同呗。

#include <stddef.h>
#include <stdio.h>
#include <string.h>
#include <windows.h>
void victim(int i) {
printf("victim(%d);\n", i);
}
void hack(int i) {
printf("hack(%d);\n", i);
}
int main()
{
void (* victim_)(int) = victim;
void (* hack_)(int) = hack;
unsigned char* victim_p = reinterpret_cast<unsigned char*>(victim);
printf("enter victim\n");
victim_(1212);
printf("leave victim\n\n");
printf("enter hack\n");
hack_(1212);
printf("leave hack\n\n");
DWORD old = 0;
VirtualProtect(victim_p, 6, PAGE_EXECUTE_READWRITE, &old);
victim_p[0] = 0xff;
victim_p[1] = 0x25;
ptrdiff_t hack_p = reinterpret_cast<ptrdiff_t>(&hack_);
memcpy(victim_p+2, &hack_p, 4);
printf("enter victim\n");
victim_(1212);
printf("leave victim\n\n");
}

复制代码

清楚了没？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

prc

家境小康

论坛徽章:: 0

18楼 [报告]

发表于 2010-03-25 17:05 |只看该作者

0041124E FF 25 5A 10 41 00 jmp dword ptr [second (41105Ah)]
从反汇编来看，这条指令的意思是从绝对地址41105A处取出一个32位的跳转地址，然后再跳转到该地址
而不是直接跳转到41105A

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

li574000

白手起家

论坛徽章:: 0

19楼 [报告]

发表于 2010-03-25 17:25 |只看该作者

哦，明白了，知道了，原始代码这样写就行了
DWORD lpnew=(DWORD)&second;
DWORD lpnnn=(DWORD)&lpnew;
memcpy((void*)(addfirst+2),(const void *)&lpnnn,sizeof(DWORD));

这么多加一个DWORD lpnnn=(DWORD)&lpnew;

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页

返回列表

Chinaunix › 论坛 › 程序设计 › C/C++ › 我这段hook代码有什么问题

我这段hook代码有什么问题 [复制链接]

浏览过的版块