Inline_HOOK—注释详细

AnxiangLemon

18年玩wxhook的时候找的  放在硬盘也是烂了  注释算详细了吧~~~

  

窗口程序集名	保 留	保 留	备 注
Inline_HOOK

子程序名	返回值类型	公开	备 注
Uninstall_Hook	整数型		卸载hook  把原来的hook数据重新写到指定位置  不为0则成功
参数名	类 型	参考	可空	数组	备 注
code地址	整数型				原来的被替换的汇编代码的地址
code长度	整数型				被替换的长度
code数据	字节集				原code
虚拟内存	整数型				我们代码被写入的点

' 写入数据
WriteProcessMemory (-1, code地址, code数据, code长度, 0)
' 释放内存
返回 (VirtualFree (虚拟内存, 0, #MEM_RELEASE ))

子程序名	返回值类型	公开	备 注
Inline_GetBuf	字节集
参数名	类 型	参考	可空	数组	备 注
目标地址	整数型				hook
当前地址	整数型				函数

变量名	类 型	静态	数组	备 注
调用地址	整数型

' jmp相对地址计算方法:目标地址 - 当前地址 - 5   最后-5 是因为jmp指令长度为5字节
调用地址 ＝ 当前地址 － 目标地址 － 5
返回 (到字节集 (调用地址))

子程序名	返回值类型	公开	备 注
Inline_Hook	字节集		hook地址  调用原来的方法后返回
参数名	类 型	参考	可空	数组	备 注
Hook地址	整数型
Hook长度	整数型
Hook数据	字节集
回调地址	整数型
回调偏移	整数型
是否前置	逻辑型
虚拟内存	整数型				这个使用来返回写的东西的虚拟内存

变量名	类 型	静态	数组	备 注
原Code	字节集
数据长度	整数型
局部字节	字节集

' 取获取hook 长度的空白字节集 一般是5
原Code ＝ 取空白字节集 (Hook长度)
' 取自己写的汇编代码的长度
数据长度 ＝ 取字节集长度 (Hook数据)
' 读取内存地址 也就是hook的地方的数据  读到原code里面去
ReadProcessMemory2 (-1, Hook地址, 原Code, Hook长度, 0)
' 创建128位的虚拟内存
虚拟内存 ＝ VirtualAlloc (0, 128, #MEM_COMMIT, #PAGE_EXECUTE_READWRITE )
判断 (是否前置 ＝ 真)
WriteProcessMemory (-1, 虚拟内存, 原Code, 取字节集长度 (原Code), 0)
WriteProcessMemory (-1, 虚拟内存 ＋ Hook长度, Hook数据, 数据长度, 0)
WriteProcessMemory (-1, 虚拟内存 ＋ Hook长度 ＋ 回调偏移, Inline_GetBuf (虚拟内存 ＋ 回调偏移 － 1, 回调地址), 4, 0)
WriteProcessMemory (-1, 虚拟内存 ＋ Hook长度 ＋ 数据长度, { 233 } ＋ Inline_GetBuf (虚拟内存 ＋ 数据长度 ＋ Hook长度, Hook地址 ＋ Hook长度), 5, 0)

' 写内存地址 ：把我们的汇编代码写到虚拟内存中
WriteProcessMemory (-1, 虚拟内存, Hook数据, 数据长度, 0)
' 写内存地址 ： -1是因为call  指令占了一位 字节  所以我们需要减去这个 然后计算函数的相对位置进行call   jmp相对地址计算方法: hook目标地址 - 要执行当前地址 - 5   最后-5 是因为jmp指令长度为5字节
WriteProcessMemory (-1, 虚拟内存 ＋ 回调偏移, Inline_GetBuf (虚拟内存 ＋ 回调偏移 － 1, 回调地址), 4, 0)
' 把原code写到我们汇编代码的尾部
WriteProcessMemory (-1, 虚拟内存 ＋ 数据长度, 原Code, Hook长度, 0)
' 在汇编 在汇编代码 和我们code 的尾部 jmp 到 原code下一层
WriteProcessMemory (-1, 虚拟内存 ＋ 数据长度 ＋ Hook长度, { 233 } ＋ Inline_GetBuf (虚拟内存 ＋ 数据长度 ＋ Hook长度, Hook地址 ＋ Hook长度), 5, 0)

' 在hook地址  jmp 到虚拟内存
WriteProcessMemory (-1, Hook地址, { 233 } ＋ Inline_GetBuf (Hook地址, 虚拟内存), 5, 0)
' 多余的字节nop掉
计次循环首 (Hook长度 － 5, )
局部字节 ＝ 局部字节 ＋ { 144 }
计次循环尾 ()
' nop的数据 写到内存
WriteProcessMemory (-1, Hook地址 ＋ 5, 局部字节, 取字节集长度 (局部字节), 0)
返回 (原Code)

子程序名	返回值类型	公开	备 注
Inline_Hook_E8Code			hookE8 等数据 可能会导致偏移出错
参数名	类 型	参考	可空	数组	备 注
E8地址	整数型
Hook地址	整数型
Hook数据	字节集
回调地址	整数型
回调偏移	整数型
虚拟内存地址	整数型				这个使用来返回写的东西的虚拟内存

变量名	类 型	静态	数组	备 注
数据长度	整数型
局部字节	字节集
Hook长度	整数型

Hook长度 ＝ 5
数据长度 ＝ 取字节集长度 (Hook数据)
' 创建128位的虚拟内存
虚拟内存地址 ＝ VirtualAlloc (0, 128, #MEM_COMMIT, #PAGE_EXECUTE_READWRITE )
' 写内存地址 ：把我们的汇编代码写到虚拟内存中
WriteProcessMemory (-1, 虚拟内存地址, Hook数据, 数据长度, 0)
' 写内存地址 ： -1是因为call  指令占了一位 字节  所以我们需要减去这个 然后计算函数的相对位置进行call   jmp相对地址计算方法: hook目标地址 - 要执行当前地址 - 5   最后-5 是因为jmp指令长度为5字节
WriteProcessMemory (-1, 虚拟内存地址 ＋ 回调偏移, Inline_GetBuf (虚拟内存地址 ＋ 回调偏移 － 1, 回调地址), 4, 0)
' 把原code写到我们汇编代码的尾部
WriteProcessMemory (-1, 虚拟内存地址 ＋ 数据长度, { 232 } ＋ Inline_GetBuf (虚拟内存地址 ＋ 数据长度, E8地址), Hook长度, 0)
' 在汇编 在汇编代码 和我们code 的尾部 jmp 到 原code下一层
WriteProcessMemory (-1, 虚拟内存地址 ＋ 数据长度 ＋ Hook长度, { 233 } ＋ Inline_GetBuf (虚拟内存地址 ＋ 数据长度 ＋ Hook长度, Hook地址 ＋ Hook长度), 5, 0)
' 在hook地址  jmp 到虚拟内存
WriteProcessMemory (-1, Hook地址, { 233 } ＋ Inline_GetBuf (Hook地址, 虚拟内存地址), 5, 0)
' 多余的字节nop掉
计次循环首 (Hook长度 － 5, )
局部字节 ＝ 局部字节 ＋ { 144 }
计次循环尾 ()
' nop的数据 写到内存
WriteProcessMemory (-1, Hook地址 ＋ 5, 局部字节, 取字节集长度 (局部字节), 0)

.版本 2<br /> <br /> .程序集 Inline_HOOK<br /> <br /> .子程序 Uninstall_Hook, 整数型, 公开, 卸载hook  把原来的hook数据重新写到指定位置  不为0则成功<br /> .参数 code地址, 整数型, , 原来的被替换的汇编代码的地址<br /> .参数 code长度, 整数型, , 被替换的长度<br /> .参数 code数据, 字节集, , 原code<br /> .参数 虚拟内存, 整数型, , 我们代码被写入的点<br /> <br /> ' 写入数据<br /> WriteProcessMemory (-1, code地址, code数据, code长度, 0)<br /> ' 释放内存<br /> 返回 (VirtualFree (虚拟内存, 0, #MEM_RELEASE))<br /> <br /> .子程序 Inline_GetBuf, 字节集<br /> .参数 目标地址, 整数型, , hook<br /> .参数 当前地址, 整数型, , 函数<br /> .局部变量 调用地址, 整数型<br /> <br /> ' jmp相对地址计算方法:目标地址 - 当前地址 - 5   最后-5 是因为jmp指令长度为5字节<br /> 调用地址 ＝ 当前地址 － 目标地址 － 5<br /> 返回 (到字节集 (调用地址))<br /> <br /> .子程序 Inline_Hook, 字节集, 公开, hook地址  调用原来的方法后返回<br /> .参数 Hook地址, 整数型<br /> .参数 Hook长度, 整数型<br /> .参数 Hook数据, 字节集<br /> .参数 回调地址, 整数型<br /> .参数 回调偏移, 整数型<br /> .参数 是否前置, 逻辑型<br /> .参数 虚拟内存, 整数型, 参考, 这个使用来返回写的东西的虚拟内存<br /> .局部变量 原Code, 字节集<br /> .局部变量 数据长度, 整数型<br /> .局部变量 局部字节, 字节集<br /> <br /> ' 取获取hook 长度的空白字节集 一般是5<br /> 原Code ＝ 取空白字节集 (Hook长度)<br /> ' 取自己写的汇编代码的长度<br /> 数据长度 ＝ 取字节集长度 (Hook数据)<br /> ' 读取内存地址 也就是hook的地方的数据  读到原code里面去<br /> ReadProcessMemory2 (-1, Hook地址, 原Code, Hook长度, 0)<br /> <br /> ' 创建128位的虚拟内存<br /> 虚拟内存 ＝ VirtualAlloc (0, 128, #MEM_COMMIT, #PAGE_EXECUTE_READWRITE)<br /> <br /> .判断开始 (是否前置 ＝ 真)<br />     WriteProcessMemory (-1, 虚拟内存, 原Code, 取字节集长度 (原Code), 0)<br />     WriteProcessMemory (-1, 虚拟内存 ＋ Hook长度, Hook数据, 数据长度, 0)<br />     WriteProcessMemory (-1, 虚拟内存 ＋ Hook长度 ＋ 回调偏移, Inline_GetBuf (虚拟内存 ＋ 回调偏移 － 1, 回调地址), 4, 0)<br />     WriteProcessMemory (-1, 虚拟内存 ＋ Hook长度 ＋ 数据长度, { 233 } ＋ Inline_GetBuf (虚拟内存 ＋ 数据长度 ＋ Hook长度, Hook地址 ＋ Hook长度), 5, 0)<br /> <br /> .默认<br />     ' 写内存地址 ：把我们的汇编代码写到虚拟内存中<br />     WriteProcessMemory (-1, 虚拟内存, Hook数据, 数据长度, 0)<br />     ' 写内存地址 ： -1是因为call  指令占了一位 字节  所以我们需要减去这个 然后计算函数的相对位置进行call   jmp相对地址计算方法: hook目标地址 - 要执行当前地址 - 5   最后-5 是因为jmp指令长度为5字节<br />     WriteProcessMemory (-1, 虚拟内存 ＋ 回调偏移, Inline_GetBuf (虚拟内存 ＋ 回调偏移 － 1, 回调地址), 4, 0)<br />     ' 把原code写到我们汇编代码的尾部<br />     WriteProcessMemory (-1, 虚拟内存 ＋ 数据长度, 原Code, Hook长度, 0)<br />     ' 在汇编 在汇编代码 和我们code 的尾部 jmp 到 原code下一层<br />     WriteProcessMemory (-1, 虚拟内存 ＋ 数据长度 ＋ Hook长度, { 233 } ＋ Inline_GetBuf (虚拟内存 ＋ 数据长度 ＋ Hook长度, Hook地址 ＋ Hook长度), 5, 0)<br /> .判断结束<br /> <br /> ' 在hook地址  jmp 到虚拟内存<br /> WriteProcessMemory (-1, Hook地址, { 233 } ＋ Inline_GetBuf (Hook地址, 虚拟内存), 5, 0)<br /> ' 多余的字节nop掉<br /> .计次循环首 (Hook长度 － 5, )<br />     局部字节 ＝ 局部字节 ＋ { 144 }<br /> .计次循环尾 ()<br /> ' nop的数据 写到内存<br /> WriteProcessMemory (-1, Hook地址 ＋ 5, 局部字节, 取字节集长度 (局部字节), 0)<br /> 返回 (原Code)<br /> <br /> .子程序 Inline_Hook_E8Code, , 公开, hookE8 等数据 可能会导致偏移出错<br /> .参数 E8地址, 整数型<br /> .参数 Hook地址, 整数型<br /> .参数 Hook数据, 字节集<br /> .参数 回调地址, 整数型<br /> .参数 回调偏移, 整数型<br /> .参数 虚拟内存地址, 整数型, 参考, 这个使用来返回写的东西的虚拟内存<br /> .局部变量 数据长度, 整数型<br /> .局部变量 局部字节, 字节集<br /> .局部变量 Hook长度, 整数型<br /> <br /> Hook长度 ＝ 5<br /> <br /> 数据长度 ＝ 取字节集长度 (Hook数据)<br /> ' 创建128位的虚拟内存<br /> 虚拟内存地址 ＝ VirtualAlloc (0, 128, #MEM_COMMIT, #PAGE_EXECUTE_READWRITE)<br /> ' 写内存地址 ：把我们的汇编代码写到虚拟内存中<br /> WriteProcessMemory (-1, 虚拟内存地址, Hook数据, 数据长度, 0)<br /> ' 写内存地址 ： -1是因为call  指令占了一位 字节  所以我们需要减去这个 然后计算函数的相对位置进行call   jmp相对地址计算方法: hook目标地址 - 要执行当前地址 - 5   最后-5 是因为jmp指令长度为5字节<br /> WriteProcessMemory (-1, 虚拟内存地址 ＋ 回调偏移, Inline_GetBuf (虚拟内存地址 ＋ 回调偏移 － 1, 回调地址), 4, 0)<br /> ' 把原code写到我们汇编代码的尾部<br /> WriteProcessMemory (-1, 虚拟内存地址 ＋ 数据长度, { 232 } ＋ Inline_GetBuf (虚拟内存地址 ＋ 数据长度, E8地址), Hook长度, 0)<br /> ' 在汇编 在汇编代码 和我们code 的尾部 jmp 到 原code下一层<br /> WriteProcessMemory (-1, 虚拟内存地址 ＋ 数据长度 ＋ Hook长度, { 233 } ＋ Inline_GetBuf (虚拟内存地址 ＋ 数据长度 ＋ Hook长度, Hook地址 ＋ Hook长度), 5, 0)<br /> ' 在hook地址  jmp 到虚拟内存<br /> WriteProcessMemory (-1, Hook地址, { 233 } ＋ Inline_GetBuf (Hook地址, 虚拟内存地址), 5, 0)<br /> ' 多余的字节nop掉<br /> .计次循环首 (Hook长度 － 5, )<br />     局部字节 ＝ 局部字节 ＋ { 144 }<br /> .计次循环尾 ()<br /> ' nop的数据 写到内存<br /> WriteProcessMemory (-1, Hook地址 ＋ 5, 局部字节, 取字节集长度 (局部字节), 0)

beatone

很好很强悍，坚持下去哦~

world

这是用的什么模块啊

zz1596

感谢楼主分享

han15070727425

支持支持（赚个j币）

qq85668684

感谢楼主分享

a46213599

感谢楼主分享—，学—一下

lltenable

感谢楼主分享 学习一下

成神之日

路过围观一下，顺便帮顶

安陆华硕专卖

感谢楼主分享 学习一下