APIHOOK 公式疑问(回帖奖励)

Love 梦想 · 发表于 2011-11-30 12:03:39

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

本帖最后由 Love 梦想于 2011-11-30 12:05 编辑

获取假冒的API函数地址公式：
假冒的API地址 = 假冒的API地址 - （真正的API地址+5）

这个公式该怎么理解？我发现很多关于这个关键部分的代码都是用汇编写的... 有没有可以直接用C写的呢~~~

Mr.C · 发表于 2011-11-30 12:14:46

先回个贴拿鱼币

川本姨夫 · 发表于 2011-11-30 12:41:09

假冒API？dll注入？还是dll替换？:dizzy:

Y.H · 发表于 2011-11-30 16:22:08

+5据我所了解的是因为最多能修改5字节还是5位.......(因为要修改地址)

实在有点不知道了,因为关于HOOK的资料的确很少....

gkxawy · 发表于 2012-8-19 21:37:33

我是回帖来拿鱼币的

ccqiji · 发表于 2012-8-20 15:34:33

我只知道API前5个字节是固定格式

7C80B741 8B FF             mov       edi,edi
7C80B743 55                   push       ebp
7C80B744 8B EC             mov       ebp,esp

biackese · 发表于 2012-8-21 16:33:17

本帖最后由 biackese 于 2012-8-21 16:34 编辑

= =不是LS说的那些
因为 HOOK就是把他要调用函数的时候  先跳到自己的
然后过程就简单了

比如执行API
push 参数了
然后call ffffffff= =函数
= =就是这么个意思然后
我们要做的  是先要把这个跳到  我们的函数  处理过里面的参数  在去调用原来的API

所以我们要把call 函数  改成 jmp 我们自己的函数参数压到堆栈就先调自己的函数去处理参数或实现其他一些
所以地址计算是自己的函数-真正的函数-5
call 地址  一共占5个字节
比如 call的地址 4E0000
我们的  4F0000
然后写的话 JMP实际跳转的是偏移
就是 4E0000  到 4F0000的偏移
就是这条指令  到我们的假的中间的差在减5  为什吗减5呢因为真的  那个callXXX占了5个字节
其实  是从callXX后一条指令到我们假的  值就是偏移
然后就是 fffb
然后写进去的内存就是  call  xxx被写成我们的例子 jmp 0000fffb
当然  OD里看到了就是jmp 4F0000= =因为OD都是把偏移的  计算到实际位置的方便人的观看

木叶客 · 发表于 2012-12-4 00:01:41

先回个贴拿鱼币

0c那似暮霭 · 发表于 2013-1-1 22:14:42

lu guo 看一看

pcode · 发表于 2013-3-1 15:05:49

还能回复?{:1_1:}

pcode · 发表于 2013-3-1 15:06:37

回个贴拿鱼币

吾醉梦醒 · 发表于 2013-7-8 09:38:25

漂亮的解释回答

Liet_Torve · 发表于 2013-7-8 11:16:19

见贴必回。

roluce · 发表于 2017-7-16 09:25:05

+5据我所了解的是因为最多能修改5字节还是5位.......(因为要修改地址)

实在有点不知道了,因为关于HOOK的资料的确很少....

castile · 发表于 2018-1-7 10:24:34

先回个贴拿鱼币

小小小菜菜菜 · 发表于 2018-12-20 19:47:40

回帖拿鱼币

jjhcctv · 发表于 2019-4-10 00:09:12

回帖拿鱼币

_Konglong · 发表于 2019-5-8 19:52:06

X-Sliver · 发表于 2019-8-13 11:57:48

回帖

熊宝宝要当红军 · 发表于 2019-8-14 08:19:52

我来看看

账号		自动登录	找回密码
密码			立即注册

APIHOOK 公式疑问(回帖奖励)

马上注册，结交更多好友，享用更多功能^_^

回帖奖励 +2 鱼币

评分

浏览过的版块