最近在写成员函数hook遇到内联汇编的一些问题

一些编译选项

一些选项会导致函数内插入一些汇编

自动插入的code导致寄存器值变化,从而无法还原

push ebp
mov ebp, esp
//插入的汇编
局部变量/你的汇编

C/C++

调试信息格式设置编辑并继续,插入如下代码
push ebx
push esi
push edi

程序数据库 (/Zi),插入如下代码
有一个局部变量时
push ecx 后再存储变量,使用这种方式创建一个堆栈空间

启用c++异常会插入如下代码

push offset __ehhandle
或者
push offset SEH_10001420

启用安全检查

/sdl /gs
mov eax, ___security_cookie

基本运行时检查设置非默认时

mov eax, 0CCCCCCCCh
rep stosd

RTC_CheckEsp

支持仅我的代码支持调试

call j_@__CheckForDebuggerJustMyCode

新方式

  1. __declspec(naked) void HookProxy()
  2. {
  3.     _asm
  4.     {
  5.         //方式1这补全缺失的代码
  6.         pushfd;
  7.         pushad;
  8.         call RealHook;
  9.         popad;
  10.         popfd;
  11.         //方式2缺失的代码
  12.         jmp jmpBackAddress;
  13.     }
  14. }

堆栈

如果指针函数比实际函数多个参数,堆栈将在调用后多一个参数
void stdcall add(){}
typedef void(stdcall* pfun)(int c);
pfun a = (pfun)add;

如果指针比实际函数少个参数,多次调用使堆栈减少导致奔溃
void stdcall add(int c){}
typedef void(stdcall* pfun)();
pfun a = (pfun)add;

hook时

注意保存寄存器环境
pushfd;
pushad;
call RealHook;
popad;
popfd;

完结