7

我有一个内存地址,它是另一个程序(它的一个 dll)中的函数的内存地址。我已经通过 DLL 注入加载到程序中。我已经有了低音地址,以及每次程序加载时函数的实际位置。所以,这不是问题。

我只想简单地钩住那个位置,然后抓取变量。我知道函数的伪代码。所以这不是问题。或者另一种很棒的方法是在该内存位置做一个断点并获取调试寄存器。

我找不到任何明确的例子。我也没有函数的“名称”,我只有内存地址。有没有办法只使用内存地址?大多数(如果不是所有)示例都使用函数的名称,而我没有。

如果有人能指出我正确的方向,以便我能够完成这项任务,我将不胜感激。它也可能会帮助许多可能有相同问题的其他人。

编辑:我还应该提一下,我宁愿不要用其他人的代码使我的程序超载,我真的只想要准系统,就像一辆带有卷帘窗的基本汽车。请不要给我豪华套餐。

4

2 回答 2

7

您错过了最重要的部分,这是 32 位还是 64 位代码?无论如何,代码项目都有一个很好的破败和涵盖两者的库。

如果你想做这个“老派”,那么它可以很简单地完成:

首先,您需要找到要挂钩的函数的虚拟地址(由于 ASLR,您永远不应该依赖它在同一个地方),这通常是通过 RVA + 模块基加载地址来完成的导出,对于导出的函数,您可以使用GetProcAddress.

从那里开始,类型挂钩取决于您要完成的任务,在您的情况下,有两种方法:

  1. 在目标函数的序言中修补跳转/调用您的函数
  2. 将所有调用站点修补到您要挂钩的功能,重定向到您的功能

第一个更简单,但很混乱,因为它通常涉及一些内联汇编(除非您挂钩/HOTPATCH二进制文件或者您只想存根它),第二个更干净,但需要使用调试器进行一些工作。

您将跳出的函数应该与您要挂钩的函数具有相同的参数和调用约定 (ABI),该函数是您可以捕获传递的参数、操作它们、过滤调用或任何您想要的任何东西的地方。

对于这两者,您需要一种方法来编写一些程序集来进行修补,在 Windows 下,WriteProcessMemory这是您的第一个调用端口(注意:您需要 RWX 权限才能执行此操作,因此调用VirtualProtect),这是一个创建的小实用程序函数一个 32 位的相对调用或跳转(取决于作为 传递的操作码eType

#pragma pack(1)
struct patch_t
{
    BYTE nPatchType;
    DWORD dwAddress;
};
#pragma pack()

BOOL ApplyPatch(BYTE eType, DWORD dwAddress, const void* pTarget)
{
    DWORD dwOldValue, dwTemp;
    patch_t pWrite =
    {
        eType,
        (DWORD)pTarget - (dwAddress + sizeof(DWORD) + sizeof(BYTE))
    };

    VirtualProtect((LPVOID)dwAddress,sizeof(DWORD),PAGE_EXECUTE_READWRITE,&dwOldValue);
    BOOL bSuccess = WriteProcessMemory(GetCurrentProcess(),(LPVOID)dwAddress,&pWrite,sizeof(pWrite),NULL);
    VirtualProtect((LPVOID)dwAddress,sizeof(DWORD),dwOldValue,&dwTemp);
    return bSuccess;
}

此函数适用于方法 2,但对于方法 1,您需要跳转到中间程序集蹦床以恢复补丁覆盖的任何代码,然后再返回原始函数,这变得非常乏味,这就是为什么它更好只需使用现有且经过测试的库。

从它的声音来看,使用方法 1 并修补跳过目标函数的序言将满足您的需求,因为您似乎并不关心执行修补的函数。

(还有第三种使用硬件断点的方法,但这非常脆弱,并且可能会出现问题,因为您被限制为 4 个硬件断点)。

于 2012-10-23T08:27:41.857 回答
0

您的“样本”在这里:

http://www.codeproject.com/Articles/4610/Three-Ways-to-Inject-Your-Code-into-Another-Proces#section_1

通常,当您“挂钩”到 DLL 中时,实际上是将您的函数放在 DLL 中被调用的函数的前面,因此您的函数会被调用。然后你捕获你想要的任何东西,调用另一个函数,捕获它的返回值和其他任何东西,然后返回给原始调用者。

于 2012-10-23T08:35:26.780 回答