InlineHook的原理与做法

小水林2025-06-03 16:43

InlineHook翻译为内联钩子 内联也就是我们的内联汇编 钩子就是修改目标的执行流程或代码

cpp 复制代码 
#include<iostream>
using namespace std;
#include<Windows.h>

DWORD OldPro = 0;      //老的保护权限
char OldCode[9] = { 0 };  //hook前的汇编代码
DWORD RetData = 0;     //内联汇编结束需要返回的地址

DWORD RetAddr = 0;     //原本被hook函数的返回地址
DWORD Num1 = 0;        //传入的参数1
DWORD Num2 = 0;        //传入的参数2
int Add(int a, int b)
{
	return a + b;
}

_declspec(naked) void HookFun()
{
	__asm     //第一步备份原本的寄存器和Eflag
	{
		PUSHAD
		PUSHFD
	}
	__asm
	{
		MOV EAX, [ESP+0x24]     //原本是esp保存返回地址但是由于前面写了备份寄存器和eflag共0x24个字节
		MOV RetAddr,EAX

		MOV EAX, [ESP+0x28]
		MOV Num1, EAX

		MOV EAX, [ESP+0x2C]
		MOV Num2, EAX
	}
	cout << RetAddr << Num1 << Num2;

	__asm
	{
		POPFD
		POPAD
	}

	__asm   //提高栈顶
	{
		push        ebp
		mov         ebp, esp
		sub         esp, 0xC0
	}

	__asm
	{
		jmp RetData
	}


}

VOID SetInlineHook(DWORD OldAddr, DWORD DeAddr)
{
	//第一步设置内存属性记得恢复属性
	BOOL bRet=VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READWRITE, &OldPro);
	if (!bRet)
	{
		return;
	}
	//第二步保存原本的指令
	memcpy(OldCode, (LPVOID)OldAddr, 9);
	//第三步 设置NOP
	memset((LPVOID)OldAddr, 0x90, 9);
	//第三步 修改汇编
	DWORD JumpAddr = DeAddr - OldAddr - 5;  //计算跳转地址
	char JumpCode[5] = { 0 };
	JumpCode[0] = 0xE9;                    //0x90对应jmp
	*(PCHAR)(JumpCode + 1) = JumpAddr;     //将地址写入后四个位置
	memcpy((LPVOID)OldAddr, JumpCode, 5);
	//恢复属性
	RetData = OldAddr + 5;       //记录返回地址
	VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READ, &OldPro);
}


VOID UnsetInlineHook(DWORD HookAddr)
{
	//第一步修改属性
	DWORD OldProtection = 0;
	BOOL bVpro=VirtualProtect((LPVOID)HookAddr, 9, PAGE_EXECUTE_READWRITE, &OldProtection);
	if (!bVpro)
	{
		return;
	}
	//写入之前保存的代码
	memcpy((LPVOID)HookAddr, OldCode, 9);
	//恢复属性
	VirtualProtect((LPVOID)HookAddr, 9, OldProtection,NULL);
}



int main()
{
	SetInlineHook((DWORD)Add,(DWORD)HookFun);
	Add(1, 2);
	UnsetInlineHook((DWORD)Add);
}

我们对简单的Add函数进行hook

首先写hook函数

cpp 复制代码 
VOID SetInlineHook(DWORD OldAddr, DWORD DeAddr)
{
	//第一步设置内存属性记得恢复属性
	BOOL bRet=VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READWRITE, &OldPro);
	if (!bRet)
	{
		return;
	}
	//第二步保存原本的指令
	memcpy(OldCode, (LPVOID)OldAddr, 9);
	//第三步 设置NOP
	memset((LPVOID)OldAddr, 0x90, 9);
	//第三步 修改汇编
	DWORD JumpAddr = DeAddr - OldAddr - 5;  //计算跳转地址
	char JumpCode[5] = { 0 };
	JumpCode[0] = 0xE9;                    //0x90对应jmp
	*(PCHAR)(JumpCode + 1) = JumpAddr;     //将地址写入后四个位置
	memcpy((LPVOID)OldAddr, JumpCode, 5);
	//恢复属性
	RetData = OldAddr + 5;       //记录返回地址
	VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READ, &OldPro);
}

第一步对要进行hook的函数进行修改内存权限

cpp 复制代码 
BOOL bRet=VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READWRITE, &OldPro);
	if (!bRet)
	{
		return;
	}

第二步保存hook前目标函数的指令

cpp 复制代码 
memcpy(OldCode, (LPVOID)OldAddr, 9);

第三步将函数开头三个指令全部设置为NOP //便于jmp NOP的硬编码为0x90

cpp 复制代码 
memset((LPVOID)OldAddr, 0x90, 9);

第四步开始修改汇编 将刚刚nop掉的改为jmp 并记录返回地址

注意跳转地址的计算方式是 跳转到目标地址减去要进行跳转函数的地址再减5(减5的原因是jmp指令长度为5)

0xE9对应的是jmp指令这两步将JumpCode填充完毕然后写入到被hook函数的开头即可

cpp 复制代码 
JumpCode[0] = 0xE9;                    //0xE9对应jmp
	*(PCHAR)(JumpCode + 1) = JumpAddr;     //将地址写入后四个位置
	memcpy((LPVOID)OldAddr, JumpCode, 5);
cpp 复制代码 
DWORD JumpAddr = DeAddr - OldAddr - 5;  //计算跳转地址
	char JumpCode[5] = { 0 };
	JumpCode[0] = 0xE9;                    //0xE9对应jmp
	*(PCHAR)(JumpCode + 1) = JumpAddr;     //将地址写入后四个位置
	memcpy((LPVOID)OldAddr, JumpCode, 5);

最后记录返回地址(加5是因为当前地址的指令长度为5)并恢复属性

cpp 复制代码 
RetData = OldAddr + 5;       //记录返回地址
VirtualProtect((LPVOID)OldAddr, 9, PAGE_EXECUTE_READ, &OldPro);

到这里就完成了hook的准备操作 下面来看hook的过程

cpp 复制代码 
_declspec(naked) void HookFun()
{
	__asm     //第一步备份原本的寄存器和Eflag
	{
		PUSHAD
		PUSHFD
	}
	__asm
	{
		MOV EAX, [ESP+0x24]     //原本是esp保存返回地址但是由于前面写了备份寄存器和eflag共0x24个字节
		MOV RetAddr,EAX

		MOV EAX, [ESP+0x28]
		MOV Num1, EAX

		MOV EAX, [ESP+0x2C]
		MOV Num2, EAX
	}
	cout << RetAddr << Num1 << Num2;

	__asm   //到这里我们的操作代码结束
	{
		POPFD
		POPAD
	}

	__asm   //提高栈顶 恢复原本的指令
	{
		push        ebp
		mov         ebp, esp
		sub         esp, 0xC0
	}

	__asm
	{
		jmp RetData
	}


}

hook的代码是裸函数进行内联汇编(Inline)

第一步先保存所有的寄存器和Eflag 然后这里我们拿到我们想要的数据 比如函数的参数和函数返回地址 然后将保存的寄存器和eflag出栈 然后模拟提升栈顶的操作因为原本函数的这个操作被我们nop掉了 然后使用jmp跳转到我们记录的地址即可

最后取消掉我们的钩子避免出问题

cpp 复制代码 
VOID UnsetInlineHook(DWORD HookAddr)
{
	//第一步修改属性
	DWORD OldProtection = 0;
	BOOL bVpro=VirtualProtect((LPVOID)HookAddr, 9, PAGE_EXECUTE_READWRITE, &OldProtection);
	if (!bVpro)
	{
		return;
	}
	//写入之前保存的代码
	memcpy((LPVOID)HookAddr, OldCode, 9);
	//恢复属性
	VirtualProtect((LPVOID)HookAddr, 9, OldProtection,NULL);
}

重点就是将原本保存的指令重新写入到函数的起始位置

cpp 复制代码 
memcpy((LPVOID)HookAddr, OldCode, 9);

简单来说InlineHook流程 就是使用jmp跳转到我们自己写的代码区域执行我们自己写的代码

注意的是每个步骤需要按照严格的顺序进行书写不然会出现很多问题

相关推荐
fengfuyao98510 小时前
STM32如何定位HardFault错误,一种实用方法
stm32·单片机·嵌入式硬件
爱学习的颖颖11 小时前
EXTI外部中断的执行逻辑|以对射式红外传感器计次为例
单片机·嵌入式硬件·exti中断
keer_zu12 小时前
STM32L051 RTC闹钟配置详解
stm32·嵌入式硬件
AI精钢12 小时前
H20芯片与中国的科技自立:一场隐形的博弈
人工智能·科技·stm32·单片机·物联网
etcix15 小时前
implement copy file content to clipboard on Windows
windows·stm32·单片机
谱写秋天15 小时前
在STM32F103上进行FreeRTOS移植和配置(STM32CubeIDE)
c语言·stm32·单片机·freertos
globbo19 小时前
【嵌入式STM32】I2C总结
单片机·嵌入式硬件
玖別ԅ(¯﹃¯ԅ)20 小时前
SysTick寄存器(嘀嗒定时器实现延时)
stm32·单片机·嵌入式硬件
limitless_peter20 小时前
集成运算放大器(反向比例,同相比例)
嵌入式硬件·硬件工程
Blossom.11821 小时前
把 AI 推理塞进「 8 位 MCU 」——0.5 KB RAM 跑通关键词唤醒的魔幻之旅
人工智能·笔记·单片机·嵌入式硬件·深度学习·机器学习·搜索引擎
热门推荐
01UV安装并设置国内源02KGG转MP3工具|非KGM文件|解密音频03【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接062025最新国内服务器可用docker源仓库地址大全(2025年8月更新)07TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践08阿里开源首个图像生成基础模型——Qwen-Image本地部署教程,超强中文渲染能力刷新SOTA!09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10全球最强模型Grok4,国内已可免费使用!(附教程)