Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
Peacoor Zomboss
miscellaneous
提交
9206867c
M
miscellaneous
项目概览
Peacoor Zomboss
/
miscellaneous
通知
151
Star
9
Fork
18
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
2
列表
看板
标记
里程碑
合并请求
0
DevOps
流水线
流水线任务
计划
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
M
miscellaneous
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
2
Issue
2
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
DevOps
DevOps
流水线
流水线任务
计划
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
流水线任务
提交
Issue看板
前往新版Gitcode,体验更适合开发者的 AI 搜索 >>
提交
9206867c
编写于
1月 31, 2023
作者:
Peacoor Zomboss
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
Do not use ReadProcessMemory
上级
27e2f0aa
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
14 addition
and
21 deletion
+14
-21
230130-hookgamesendto/src/inlinehook.cpp
230130-hookgamesendto/src/inlinehook.cpp
+14
-21
未找到文件。
230130-hookgamesendto/src/inlinehook.cpp
浏览文件 @
9206867c
...
...
@@ -12,27 +12,20 @@
#ifdef _CPU_X64
static
void
*
FindModuleTextBlankAlign
(
HMODULE
hmodule
)
{
HANDLE
curproc
=
GetCurrentProcess
();
BYTE
*
p
=
(
BYTE
*
)
hmodule
;
IMAGE_DOS_HEADER
dosh
;
ReadProcessMemory
(
curproc
,
p
,
&
dosh
,
sizeof
(
dosh
),
NULL
);
// 读取dos头
p
+=
dosh
.
e_lfanew
+
4
;
// PE信息偏移量
IMAGE_FILE_HEADER
exeh
;
ReadProcessMemory
(
curproc
,
p
,
&
exeh
,
sizeof
(
exeh
),
NULL
);
// 读取PE信息
p
+=
sizeof
(
exeh
)
+
exeh
.
SizeOfOptionalHeader
;
// 跳过可选头
for
(
int
i
=
0
;
i
<
exeh
.
NumberOfSections
;
i
++
)
{
IMAGE_SECTION_HEADER
sech
;
ReadProcessMemory
(
curproc
,
p
,
&
sech
,
sizeof
(
sech
),
NULL
);
// 读取区段头
if
(
memcmp
(
sech
.
Name
,
".text"
,
5
)
==
0
)
{
// 是否.text段
BYTE
*
offset
=
(
BYTE
*
)
hmodule
+
sech
.
VirtualAddress
+
sech
.
Misc
.
VirtualSize
;
// 计算空白区域偏移量
p
+=
((
IMAGE_DOS_HEADER
*
)
p
)
->
e_lfanew
+
4
;
// 根据DOS头获取PE信息偏移量
p
+=
sizeof
(
IMAGE_FILE_HEADER
)
+
((
IMAGE_FILE_HEADER
*
)
p
)
->
SizeOfOptionalHeader
;
// 跳过可选头
WORD
sections
=
((
IMAGE_FILE_HEADER
*
)
p
)
->
NumberOfSections
;
// 获取区段长度
for
(
int
i
=
0
;
i
<
sections
;
i
++
)
{
IMAGE_SECTION_HEADER
*
psec
=
(
IMAGE_SECTION_HEADER
*
)
p
;
p
+=
sizeof
(
IMAGE_SECTION_HEADER
);
if
(
memcmp
(
psec
->
Name
,
".text"
,
5
)
==
0
)
{
// 是否.text段
BYTE
*
offset
=
(
BYTE
*
)
hmodule
+
psec
->
VirtualAddress
+
psec
->
Misc
.
VirtualSize
;
// 计算空白区域偏移量
offset
+=
16
-
(
INT_PTR
)
offset
%
16
;
// 对齐16字节
long
long
buf
[
2
];
ReadProcessMemory
(
curproc
,
offset
,
&
buf
,
16
,
NULL
);
while
(
buf
[
0
]
!=
0
||
buf
[
1
]
!=
0
)
{
offset
+=
16
;
ReadProcessMemory
(
curproc
,
offset
,
&
buf
,
16
,
NULL
);
}
return
offset
;
long
long
*
buf
=
(
long
long
*
)
offset
;
while
(
buf
[
0
]
!=
0
||
buf
[
1
]
!=
0
)
// 找到一块全是0的区域
buf
+=
16
;
return
(
void
*
)
buf
;
}
}
return
0
;
...
...
@@ -78,7 +71,7 @@ InlineHook::InlineHook(HMODULE hmodule, const char *name, void *fake_func, int e
// 写入真正的跳转代码到空白区域
WriteProcessMemory
(
GetCurrentProcess
(),
blank
,
&
blank_jump
,
14
,
NULL
);
// 保存原来的入口代码
ReadProcessMemory
(
GetCurrentProcess
(),
func_ptr
,
old_entry
,
entry_len
,
NULL
);
memcpy
(
old_entry
,
func_ptr
,
entry_len
);
ptr64
.
ptr
=
(
BYTE
*
)
func_ptr
+
entry_len
;
// 设置新的跳转代码
BYTE
*
new_jump
=
(
BYTE
*
)
old_entry
+
entry_len
;
...
...
@@ -94,7 +87,7 @@ InlineHook::InlineHook(HMODULE hmodule, const char *name, void *fake_func, int e
#ifdef _CPU_X86
hook_entry
[
0
]
=
0xE9
;
// 跳转代码
*
(
long
*
)
&
hook_entry
[
1
]
=
(
BYTE
*
)
fake_func
-
(
BYTE
*
)
func_ptr
-
5
;
// 直接到hook的代码
ReadProcessMemory
(
GetCurrentProcess
(),
func_ptr
,
old_entry
,
entry_len
,
NULL
);
// 保存入口
memcpy
(
old_entry
,
func_ptr
,
entry_len
);
// 保存入口
BYTE
*
new_jump
=
(
BYTE
*
)
old_entry
+
entry_len
;
*
new_jump
=
0xE9
;
// 跳回去的代码
*
(
long
*
)(
new_jump
+
1
)
=
(
BYTE
*
)
func_ptr
+
entry_len
-
new_jump
-
5
;
...
...
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录