#include<stdio.h>
//全局变量定义
void MYAPI();//假函数
void SYSAPI();//被HOOK的函数
BYTE MYCODE[5]={ 0xE9,0x0,0x0,0x0,0x0 };//保存JMP MYAPI,E9代表JMP指令
BYTE SYSCODE[5]={ 0x0,0x0,0x0,0x0,0x0 };//保存SYSAPI的前5个字节
//全局变量定义结束
void MYAPI(){
printf("MyAPI");
printf("-----");
}
void SYSAPI(){
printf("SysAPI");
printf("-----");
}
int main(){
/*
我的问题是:如何将下面这段汇编代码用C实现?
*/
_asm//这段汇编的作用是将MYAPI的地址保存到MYCODE的后4个字节。MYCODE的内容就是JMP MYAPI。
{
lea eax,MYAPI
mov ebx,SYSAPI
sub eax,ebx
sub eax,5
mov dword ptr [MYCODE+1],eax
}
ReadProcessMemory ((void*)-1, SYSAPI, SYSCODE, 5, NULL);//保存SYSAPI前5个字节
SYSAPI();//正常调用
WriteProcessMemory((void*)-1,SYSAPI,MYCODE,5,NULL);//修改SYSAPI()前5个字节
SYSAPI();//HOOK后调用
WriteProcessMemory((void*)-1,SYSAPI,SYSCODE,5,NULL);//恢复SYSAPI()前5个字节
SYSAPI();//恢复原API后调用
while(1){}//让DOS窗口不退出。
return 0;
}
4 个解决方案
#1
等价于下面这句
*(ULONG *)(&MYCODE[1]) = (ULONG)MYAPI - (ULONG)SYSAPI - 5;
#2
你这段代码正确,但是不知道什么意思,可以详细的解释下吗?我曾经试过用下面这段代码代替汇编,但是失败了。这是为什么?
memcpy(MYCODE+1,&MYAPI,4) //将MYAPI的地址保存到MYCODE的后四个字节
#3
看下汇编的jmp相对跳转。
#4
计算机组成原理→DOS命令→汇编语言→C语言(不包括C++)、代码书写规范→数据结构、编译原理、操作系统→计算机网络、数据库原理、正则表达式→其它语言(包括C++)、架构……
对学习编程者的忠告:
多用小脑和手,少用大脑、眼睛和嘴,会更快地学会编程!
眼过千遍不如手过一遍!
书看千行不如手敲一行!
手敲千行不如单步一行!
单步源代码千行不如单步Debug版对应汇编一行!
单步Debug版对应汇编千行不如单步Release版对应汇编一行!
VC调试时按Alt+8、Alt+7、Alt+6和Alt+5,打开汇编窗口、堆栈窗口、内存窗口和寄存器窗口看每句C对应的汇编、单步执行并观察相应堆栈、内存和寄存器变化,这样过一遍不就啥都明白了吗。
对VC来说,所谓‘调试时’就是编译连接通过以后,按F10或F11键单步执行一步以后的时候,或者在某行按F9设了断点后按F5执行停在该断点处的时候。
(Turbo C或Borland C用Turbo Debugger调试,Linux或Unix下用GDB调试时,看每句C对应的汇编并单步执行观察相应内存和寄存器变化。)
对学习编程者的忠告:
多用小脑和手,少用大脑、眼睛和嘴,会更快地学会编程!
眼过千遍不如手过一遍!
书看千行不如手敲一行!
手敲千行不如单步一行!
单步源代码千行不如单步Debug版对应汇编一行!
单步Debug版对应汇编千行不如单步Release版对应汇编一行!
VC调试时按Alt+8、Alt+7、Alt+6和Alt+5,打开汇编窗口、堆栈窗口、内存窗口和寄存器窗口看每句C对应的汇编、单步执行并观察相应堆栈、内存和寄存器变化,这样过一遍不就啥都明白了吗。
对VC来说,所谓‘调试时’就是编译连接通过以后,按F10或F11键单步执行一步以后的时候,或者在某行按F9设了断点后按F5执行停在该断点处的时候。
(Turbo C或Borland C用Turbo Debugger调试,Linux或Unix下用GDB调试时,看每句C对应的汇编并单步执行观察相应内存和寄存器变化。)
#1
等价于下面这句
*(ULONG *)(&MYCODE[1]) = (ULONG)MYAPI - (ULONG)SYSAPI - 5;
#2
你这段代码正确,但是不知道什么意思,可以详细的解释下吗?我曾经试过用下面这段代码代替汇编,但是失败了。这是为什么?
memcpy(MYCODE+1,&MYAPI,4) //将MYAPI的地址保存到MYCODE的后四个字节
#3
看下汇编的jmp相对跳转。
#4
计算机组成原理→DOS命令→汇编语言→C语言(不包括C++)、代码书写规范→数据结构、编译原理、操作系统→计算机网络、数据库原理、正则表达式→其它语言(包括C++)、架构……
对学习编程者的忠告:
多用小脑和手,少用大脑、眼睛和嘴,会更快地学会编程!
眼过千遍不如手过一遍!
书看千行不如手敲一行!
手敲千行不如单步一行!
单步源代码千行不如单步Debug版对应汇编一行!
单步Debug版对应汇编千行不如单步Release版对应汇编一行!
VC调试时按Alt+8、Alt+7、Alt+6和Alt+5,打开汇编窗口、堆栈窗口、内存窗口和寄存器窗口看每句C对应的汇编、单步执行并观察相应堆栈、内存和寄存器变化,这样过一遍不就啥都明白了吗。
对VC来说,所谓‘调试时’就是编译连接通过以后,按F10或F11键单步执行一步以后的时候,或者在某行按F9设了断点后按F5执行停在该断点处的时候。
(Turbo C或Borland C用Turbo Debugger调试,Linux或Unix下用GDB调试时,看每句C对应的汇编并单步执行观察相应内存和寄存器变化。)
对学习编程者的忠告:
多用小脑和手,少用大脑、眼睛和嘴,会更快地学会编程!
眼过千遍不如手过一遍!
书看千行不如手敲一行!
手敲千行不如单步一行!
单步源代码千行不如单步Debug版对应汇编一行!
单步Debug版对应汇编千行不如单步Release版对应汇编一行!
VC调试时按Alt+8、Alt+7、Alt+6和Alt+5,打开汇编窗口、堆栈窗口、内存窗口和寄存器窗口看每句C对应的汇编、单步执行并观察相应堆栈、内存和寄存器变化,这样过一遍不就啥都明白了吗。
对VC来说,所谓‘调试时’就是编译连接通过以后,按F10或F11键单步执行一步以后的时候,或者在某行按F9设了断点后按F5执行停在该断点处的时候。
(Turbo C或Borland C用Turbo Debugger调试,Linux或Unix下用GDB调试时,看每句C对应的汇编并单步执行观察相应内存和寄存器变化。)