您错过了最重要的部分,这是 32 位还是 64 位代码?无论如何,代码项目都有一个很好的破败和涵盖两者的库。
如果你想做这个“老派”,那么它可以很简单地完成:
首先,您需要找到要挂钩的函数的虚拟地址(由于 ASLR,您永远不应该依赖它在同一个地方),这通常是通过 RVA + 模块基加载地址来完成的导出,对于导出的函数,您可以使用GetProcAddress
.
从那里开始,类型挂钩取决于您要完成的任务,在您的情况下,有两种方法:
- 在目标函数的序言中修补跳转/调用您的函数
- 将所有调用站点修补到您要挂钩的功能,重定向到您的功能
第一个更简单,但很混乱,因为它通常涉及一些内联汇编(除非您挂钩/HOTPATCH
二进制文件或者您只想存根它),第二个更干净,但需要使用调试器进行一些工作。
您将跳出的函数应该与您要挂钩的函数具有相同的参数和调用约定 (ABI),该函数是您可以捕获传递的参数、操作它们、过滤调用或任何您想要的任何东西的地方。
对于这两者,您需要一种方法来编写一些程序集来进行修补,在 Windows 下,WriteProcessMemory
这是您的第一个调用端口(注意:您需要 RWX 权限才能执行此操作,因此调用VirtualProtect
),这是一个创建的小实用程序函数一个 32 位的相对调用或跳转(取决于作为 传递的操作码eType
)
#pragma pack(1)
struct patch_t
{
BYTE nPatchType;
DWORD dwAddress;
};
#pragma pack()
BOOL ApplyPatch(BYTE eType, DWORD dwAddress, const void* pTarget)
{
DWORD dwOldValue, dwTemp;
patch_t pWrite =
{
eType,
(DWORD)pTarget - (dwAddress + sizeof(DWORD) + sizeof(BYTE))
};
VirtualProtect((LPVOID)dwAddress,sizeof(DWORD),PAGE_EXECUTE_READWRITE,&dwOldValue);
BOOL bSuccess = WriteProcessMemory(GetCurrentProcess(),(LPVOID)dwAddress,&pWrite,sizeof(pWrite),NULL);
VirtualProtect((LPVOID)dwAddress,sizeof(DWORD),dwOldValue,&dwTemp);
return bSuccess;
}
此函数适用于方法 2,但对于方法 1,您需要跳转到中间程序集蹦床以恢复补丁覆盖的任何代码,然后再返回原始函数,这变得非常乏味,这就是为什么它更好只需使用现有且经过测试的库。
从它的声音来看,使用方法 1 并修补跳过目标函数的序言将满足您的需求,因为您似乎并不关心执行修补的函数。
(还有第三种使用硬件断点的方法,但这非常脆弱,并且可能会出现问题,因为您被限制为 4 个硬件断点)。