文件名称:使用内核三步实现InlineHook的详细分析
文件大小:949KB
文件格式:PDF
更新时间:2024-07-26 17:03:28
函数内核InlineHook
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。前提是必须对函数的流程和指令非常熟悉。且这种深层次的inlineHook不具有通用性。稳定性也是问题。本文讨论的是具有通用性的两类inlineHook的实现. Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的函数的几条指令来替换,如果要执行原函数,则在我们函数处理完毕,再执行我们保存起来的开头几条指令,然后调回我们取指令之后的地址执行。用下图来解释