鱼C论坛

 找回密码
 立即注册
查看: 4680|回复: 24

APIHOOK 公式疑问(回帖奖励)

[复制链接]
发表于 2011-11-30 12:03:39 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
本帖最后由 Love 梦想 于 2011-11-30 12:05 编辑

获取假冒的API函数地址公式:
假冒的API地址 = 假冒的API地址 - (真正的API地址+5)

这个公式该怎么理解? 我发现很多关于这个关键部分的代码都是用汇编写的... 有没有可以直接用C写的呢~~~
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2011-11-30 12:14:46 | 显示全部楼层

回帖奖励 +2 鱼币

先回个贴拿鱼币
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2011-11-30 12:41:09 | 显示全部楼层
假冒API?dll注入?还是dll替换?:dizzy:
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2011-11-30 16:22:08 | 显示全部楼层
+5据我所了解的是因为最多能修改5字节还是5位.......(因为要修改地址)

实在有点不知道了,因为关于HOOK的资料的确很少....
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2012-8-19 21:37:33 | 显示全部楼层
我是回帖来拿鱼币的
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2012-8-20 15:34:33 | 显示全部楼层
我只知道API前5个字节是固定格式

7C80B741 8B FF                mov         edi,edi
7C80B743 55                    push        ebp
7C80B744 8B EC                mov         ebp,esp
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2012-8-21 16:33:17 | 显示全部楼层
本帖最后由 biackese 于 2012-8-21 16:34 编辑

= =不是LS说的那些
因为 HOOK就是 把他要调用函数的时候  先跳到自己的
然后 过程就简单了

比如 执行API  
push 参数 了
然后call ffffffff= =函数
= =就是这么个意思 然后
我们要做的  是先要把这个跳到  我们的函数  处理过里面的参数  在去调用原来的API

所以 我们要把call 函数  改成   jmp 我们自己的函数    参数压到堆栈就先调自己的函数 去处理参数 或实现其他一些
所以 地址计算 是 自己的函数-真正的函数-5
call 地址  一共占5个字节
比如 call的地址 4E0000
我们的  4F0000
然后 写的话 JMP实际跳转的是偏移
就是 4E0000  到 4F0000的偏移
就是这条指令  到我们的假的   中间的差在减5  为什吗减5呢 因为真的  那个callXXX占了5个字节
其实  是从callXX后一条指令到我们假的  值就是偏移
然后就是   fffb
然后写进去的内存就是  call  xxx被写成我们的例子   jmp 0000fffb
当然  OD里看到了 就是jmp 4F0000= =因为OD都是把偏移的  计算到实际位置的   方便人的观看

评分

参与人数 1鱼币 +3 收起 理由
Tzdner_C + 3 赞一个!

查看全部评分

想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2012-12-4 00:01:41 | 显示全部楼层
先回个贴拿鱼币
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2013-1-1 22:14:42 | 显示全部楼层
lu  guo  看一看     
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2013-3-1 15:05:49 | 显示全部楼层
还能回复?{:1_1:}
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2013-3-1 15:06:37 | 显示全部楼层
回个贴拿鱼币
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2013-7-8 09:38:25 | 显示全部楼层
漂亮的解释回答
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2013-7-8 11:16:19 | 显示全部楼层
见贴必回。
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2017-7-16 09:25:05 | 显示全部楼层

+5据我所了解的是因为最多能修改5字节还是5位.......(因为要修改地址)

实在有点不知道了,因为关于HOOK的资料的确很少....
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2018-1-7 10:24:34 | 显示全部楼层
先回个贴拿鱼币
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2018-12-20 19:47:40 | 显示全部楼层
回帖拿鱼币
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2019-4-10 00:09:12 | 显示全部楼层
回帖拿鱼币
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2019-5-8 19:52:06 | 显示全部楼层
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复

使用道具 举报

发表于 2019-8-13 11:57:48 | 显示全部楼层
回帖
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复

使用道具 举报

发表于 2019-8-14 08:19:52 | 显示全部楼层
我来看看
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-3-29 19:43

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表