win7 hook 注意问题

15  2013-12-14, 12:01:37

---

能在xp(32位？)上运行，说明是32位程序？
请确认你要hook的dll的路径。32位程序在64位下运行的时候，hook的dll的位置并不是system32下的那些dll，同时注册表的位置也不一样的。
搞定了这些，32位程序在64位os下的hook，和32位os下是完全一样的。 

 

 

http://bbs.pediy.com/showthread.php?p=1246968

1  2013-12-13, 22:21:32  【求助】WIN7系统上关于API HOOK的问题，郁闷一天了。

---

在WIN7系统上，使用的是inline hook，修改函数的前五个字节来HOOK。其它程序都可以Hook住，但就是我想HOOK的那个程序使终无法跳转到我的函数中来。并且用一些工具软件也查看到DLL中前面五个字节已经改为了跳转代码了（因为该软件加壳了，所以无法用OD进行调试），但执行的时候，却始终没有执行到我的函数中来。但是那个软件也能够正常运行，就好像是那五个字节没有修改过一样。 我把软件运行在XP系统上却能够成功HOOK到。

我看到一个同类软件在WIN7系统上也能够HOOK到，但那个软件要求自身这个软件先运行，然后那个被HOOK再运行才可以。如果被HOOK的软件先运行的话，就也同样HOOK不到。 

[公告]如果你觉得有人语言挑衅，请点每帖右上角的“举报”按钮！

 

 

 

phpskycn

普通会员

资　料:

注册日期: Dec 2011

帖子: 381 

精华: 1

现金: 103 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

2  2013-12-13, 22:29:27

---

请确认你hook的位置会被执行到 

[培训]"麦洛克菲"内核底层开发培训，看雪会员报名减免200元！

 

 

 

菠萝柚

初级会员

资　料:

注册日期: Feb 2012

帖子: 70 

精华: 0

现金: 133 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

3  2013-12-13, 22:31:21

---

SSDT HOOK肯定能勾到 

[公告]如果你觉得有人语言挑衅，请点每帖右上角的“举报”按钮！

 

 

 

winampme

初级会员

资　料:

注册日期: Oct 2010

帖子: 63 

精华: 0

现金: 19 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

4  2013-12-13, 22:40:55

---

引用:

最初由 phpskycn发布 

请确认你hook的位置会被执行到

我想应该可以执行到啊。因为XP系统上是可以HOOK到的。除非是那个软件会判断现在是什么系统，是WIN7系统就执行另外的代码。

我想这种可能性较小，不过明天也可以试试。 

[培训]15PB软件安全培训，看雪会员有优惠！

 

 

 

winampme

初级会员

资　料:

注册日期: Oct 2010

帖子: 63 

精华: 0

现金: 19 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

5  2013-12-13, 22:50:48

---

引用:

最初由 菠萝柚发布 

SSDT HOOK肯定能勾到

我对这个不太了解。如果实在没办法了的话，我会去研究一下这个的。 

[培训]科锐逆向培训！看雪会员减免200元！

 

 

 

phpskycn

普通会员

资　料:

注册日期: Dec 2011

帖子: 381 

精华: 1

现金: 103 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

6  2013-12-13, 22:53:41

---

OD在该位置下断试试 

[培训]15PB软件安全培训，看雪会员有优惠！

 

 

 

winampme

初级会员

资　料:

注册日期: Oct 2010

帖子: 63 

精华: 0

现金: 19 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

7  2013-12-13, 22:55:14

---

引用:

最初由 phpskycn发布 

请确认你hook的位置会被执行到

这个软件无法调试，因为加壳了。有什么软件能够检测到执行了哪些DLL中的哪些函数吗？ 

[培训]15PB软件安全培训，看雪会员有优惠！

 

 

 

winampme

初级会员

资　料:

注册日期: Oct 2010

帖子: 63 

精华: 0

现金: 19 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

8  2013-12-13, 22:57:01

---

引用:

最初由 phpskycn发布 

OD在该位置下断试试

OD调试不了啊。加壳了。我不会脱壳。 

[培训]科锐逆向培训！看雪会员减免200元！

 

 

 

菠萝柚

初级会员

资　料:

注册日期: Feb 2012

帖子: 70 

精华: 0

现金: 133 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

9  2013-12-13, 22:58:50

---

R.的钩子很容易绕过的，都过时了=.= 

[培训]科锐逆向培训！看雪会员减免200元！

 

 

 

phpskycn

普通会员

资　料:

注册日期: Dec 2011

帖子: 381 

精华: 1

现金: 103 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

10  2013-12-14, 00:01:15

---

SOD啥的呢
既然你能hook，肯定能在同样的位置下断 

[公告]如果你觉得有人语言挑衅，请点每帖右上角的“举报”按钮！

 

 

 

暗月之魂

初级会员

资　料:

注册日期: Aug 2011

帖子: 121 

精华: 0

现金: 91 Kx

致谢数: 2

获感谢文章数：0
获会员感谢数：0

11  2013-12-14, 03:31:32

---

你hook了哪个函数？
有些API要区分 A版和W版 

[培训]"麦洛克菲"内核底层开发培训，看雪会员报名减免200元！

 

 

 

winampme

初级会员

资　料:

注册日期: Oct 2010

帖子: 63 

精华: 0

现金: 19 Kx

致谢数: 0

获感谢文章数：1
获会员感谢数：1

12  2013-12-14, 09:18:44

---

引用:

最初由 暗月之魂发布 

你hook了哪个函数？
有些API要区分 A版和W版

我hook的函数没有a版和w版。我hook的是winmm.dll中的waveInOpen函数。 

[培训]科锐逆向培训！看雪会员减免200元！

 

 

 

IDGHOST

初级会员

资　料:

注册日期: Nov 2012

帖子: 172 

精华: 0

现金: 100 Kx

致谢数: 0

获感谢文章数：0
获会员感谢数：0

13  2013-12-14, 09:52:11

---

Win7的Dll有的打了IAT补丁，函数开头变成了jmp [xxx.NewFunction] 

[培训]科锐逆向培训！看雪会员减免200元！

 

 

 

Aker

『软件调试论坛』版主

资　料:

注册日期: Jul 2005

帖子: 739 

精华: 4

现金: 2053 Kx

致谢数: 3

获感谢文章数：7
获会员感谢数：7

14  2013-12-14, 10:26:48

---

引用:

最初由 winampme发布 

我hook的函数没有a版和w版。我hook的是winmm.dll中的waveInOpen函数。

还真有可能不同系统用不一样的api，你是要获取采集的声音么，有可能在xp用waveXX，在其他win os上用Dsound，xaudio2，coreaudio等都有可能的 

[培训]科锐逆向培训！看雪会员减免200元！

 

 

 

justlovemm

初级会员

资　料:

注册日期: Oct 2005

帖子: 589 

精华: 0

现金: 157 Kx

致谢数: 11

获感谢文章数：5
获会员感谢数：5

15  2013-12-14, 12:01:37

---

能在xp(32位？)上运行，说明是32位程序？
请确认你要hook的dll的路径。32位程序在64位下运行的时候，hook的dll的位置并不是system32下的那些dll，同时注册表的位置也不一样的。
搞定了这些，32位程序在64位os下的hook，和32位os下是完全一样的。