8

这是一些标准代码,我们在其中安装了钩子,在我们感兴趣的函数的开头重写了一些字节。我的问题是:为什么我们需要重新保护一块重写的内存?我们不能只保留PAGE_EXECUTE_READWRITE权限吗?我们在这里假设我们需要不断地恢复原始字节并再次重新挂钩。

if (VirtualProtect(funcPtr, 6, PAGE_EXECUTE_READWRITE, &dwProtect)) // make memory writable
{
    ReadProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, Hook::origData, 6, 0); // save old data
    DWORD offset = ((DWORD)hook - (DWORD)funcPtr - 5);  //((to)-(from)-5)
    memcpy(&jmp[1], &offset, 4); // write address into jmp
    memcpy(Hook::hookData, jmp, 6); // save hook data
    WriteProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, jmp, 6, 0); // write jmp
    VirtualProtect(funcPtr, 6, dwProtect, NULL); // reprotect
}
4

1 回答 1

8

门一开,任何人都可以进去。如果您已从内存范围中删除写保护,则任何代码都可以更新该内存 - 而不仅仅是您的代码。内存无法知道您的(合法)代码是更新它的代码,而不是一些可能的恶意软件,甚至只是也加载到进程空间中的普通错误 DLL。重新保护它有助于防止非您的代码更新您想要更改的内存位置。

于 2012-11-19T20:40:46.620 回答