4.火山PC视窗HOOK之手动改写汇编完成Hook

揰掵佲 · 2023-2-2 21:08:22

据统计90%查看本帖的人,都已经注册本站了哦

您需要登录才可以下载或查看，没有账号？立即注册

×

[Asm] 纯文本查看 复制代码

75971F00 <user32.MessageBoxW> | 8BFF                      | mov edi,edi                          |
75971F02                      | 55                        | push ebp                             |
75971F03                      | 8BEC                      | mov ebp,esp                          |
75971F05                      | 833D 946C9975 00          | cmp dword ptr ds:[75996C94],0        |
75971F0C                      | 74 22                     | je user32.75971F30                   |

75971F00 <user32.MessageBoxW>        | E9 FBE0E891               | jmp 7800000                          |
75971F05                             | 833D 946C9975 00          | cmp dword ptr ds:[75996C94],0        |
75971F0C                             | 74 22                     | je user32.75971F30                   |


07800000                      | 0000                      | add byte ptr ds:[eax],al             | 用户分配的内存
07800002                      | 0000                      | add byte ptr ds:[eax],al             |
07800004                      | 0000                      | add byte ptr ds:[eax],al             |
07800006                      | 0000                      | add byte ptr ds:[eax],al             |
07800008                      | 0000                      | add byte ptr ds:[eax],al             |
0780000A                      | 0000                      | add byte ptr ds:[eax],al             |
0780000C                      | 0000                      | add byte ptr ds:[eax],al             |
0780000E                      | 0000                      | add byte ptr ds:[eax],al             |
07800010                      | 0000                      | add byte ptr ds:[eax],al             |

07800000                             | 89FF                      | mov edi,edi                          | 空白地址
07800002                             | 55                        | push ebp                             |
07800003                             | 89E5                      | mov ebp,esp                          |
07800005                             | E9 FB1E176E               | jmp user32.75971F05                  |


=======X64

00007FF8263FC970 <user32.MessageBoxW> | 48:83EC 38                | sub rsp,38                                          |
00007FF8263FC974                      | 45:33DB                   | xor r11d,r11d                                       |
00007FF8263FC977                      | 44:391D 72790300          | cmp dword ptr ds:[7FF8264342F0],r11d                |
00007FF8263FC97E                      | 74 2E                     | je user32.7FF8263FC9AE                              |
00007FF8263FC980                      | 6548:8B0425 30000000      | mov rax,qword ptr gs:[30]                           | 0000000000000030:L"退效X"
00007FF8263FC989                      | 4C:8B50 48                | mov r10,qword ptr ds:[rax+48]                       |
00007FF8263FC98D                      | 33C0                      | xor eax,eax                                         |
00007FF8263FC98F                      | F04C:0FB115 38850300      | lock cmpxchg qword ptr ds:[7FF826434ED0],r10        |
00007FF8263FC998                      | 4C:8B15 39850300          | mov r10,qword ptr ds:[7FF826434ED8]                 |
00007FF8263FC99F                      | 41:8D43 01                | lea eax,qword ptr ds:[r11+1]                        |
00007FF8263FC9A3                      | 4C:0F44D0                 | cmove r10,rax                                       |
00007FF8263FC9A7                      | 4C:8915 2A850300          | mov qword ptr ds:[7FF826434ED8],r10                 |
00007FF8263FC9AE                      | 834C24 28 FF              | or dword ptr ss:[rsp+28],FFFFFFFF                   |
00007FF8263FC9B3                      | 6644:895C24 20            | mov word ptr ss:[rsp+20],r11w                       |
00007FF8263FC9B9                      | E8 D2FDFFFF               | call <user32.MessageBoxTimeoutW>                    |
00007FF8263FC9BE                      | 48:83C4 38                | add rsp,38                                          |
00007FF8263FC9C2                      | C3                        | ret                                                 |


00007FF8263FC970 <user32.MessageBoxW>        | FF25 C8090000             | jmp qword ptr ds:[7FF8263FD33E]                     |
00007FF8263FC976                             | 90                        | nop                                                 |
00007FF8263FC977                             | 44:391D 72790300          | cmp dword ptr ds:[7FF8264342F0],r11d                |


00007FF8263FD33E                             | 0000                      | add byte ptr ds:[rax],al                            |
00007FF8263FD340                             | A8 39                     | test al,39                                          |
00007FF8263FD342                             | AD                        | lodsd                                               |
00007FF8263FD343                             | 0100                      | add dword ptr ds:[rax],eax                          |
00007FF8263FD345                             | 00CC                      | add ah,cl                                           |


000001AD39A80000                             | 48:83EC 38                | sub rsp,38                                          | 用户分配的内存
000001AD39A80004                             | 45:31DB                   | xor r11d,r11d                                       |
000001AD39A80007                             | FF25 09000000             | jmp qword ptr ds:[1AD39A80016]                      |
000001AD39A8000D                             | 90                        | nop                                                 |
000001AD39A8000E                             | 0000                      | add byte ptr ds:[rax],al                            |
000001AD39A80010                             | 0000                      | add byte ptr ds:[rax],al                            |
000001AD39A80012                             | 0000                      | add byte ptr ds:[rax],al                            |
000001AD39A80014                             | 0000                      | add byte ptr ds:[rax],al                            |
000001AD39A80016                             | 77 C9                     | ja 1AD39A7FFE1                                      |
000001AD39A80018                             | 3F                        | ???                                                 |
000001AD39A80019                             | 26:F8                     | clc                                                 |
000001AD39A8001B                             | 7F 00                     | jg 1AD39A8001D                                      |

游客，如果您要查看本帖隐藏内容请回复

hbhb888 · 2023-3-9 18:54:41

学习学习学习学习学习

xkhgvqei · 2023-4-4 20:21:19

好好看好好学

lgoxfajd · 2023-4-5 16:34:06

学习学习学习学习

migmstfd · 2023-4-12 10:26:57

很赞同，谢谢！

ymlquaew · 2023-6-23 16:17:25

来看看看看

dengzf · 2023-8-22 10:30:44

学习，支持下载

muye84 · 2023-8-29 18:14:30

支持开源~！感谢分享

297528971 · 2024-4-29 14:07:47

支持开源~！感谢分享

账号		自动登录	找回密码
密码			立即注册

办理VIP,定制软件,报名培训联系	[重磅]2024年实地培训高清培训目录	火山PC版乐易模块使用教程
请牢记揰掵佲的QQ号1615457736 1615457734 其他都是骗子	有了火山,易语言是否还有必要学习吗?	易语言0基础入门课程
火山PC视窗0基础入门课程	易语言外挂0基础入门课程	火山PC视窗火山HOOK入门课程
易语言误报处理课程	QQ空间POST课程	2022年火山PC易语言POST系列课程
Android逆向Jeb动态调试0基础课程	QQ邮箱网页POST课程	WeChat个微Hook实战课程
百日Js加密分析实战课程(无密下载)	QQ群POST课程	h5游戏WebSocket逆向视频
JavaScript加密特训课程	易语言汇编快速入门课程	破解实战系列课程
[2024年]火山PC0基础x64位游戏内存辅助开发教程	手游模拟器脚本0基础课程	易语言加密防破解0基础入门课程
广告位招租联系QQ1615457736

[火山PC教程] 4.火山PC视窗HOOK之手动改写汇编完成Hook

[火山PC教程] 4.火山PC视窗HOOK之手动改写汇编完成Hook

据统计90%查看本帖的人,都已经注册本站了哦

热点推荐 /5