发布一个自己写的用于Hook .Net方法的类庫代码量不大,完全的C#代码实现是一个比较有趣的功能,分享出来希望能和大家共同探讨
函数的库网上搜索了很多,但都不理想所以想自己实现一个
虚拟机以及一些内部的结构并不是很熟悉,并且有些东西的确找不到任何文档所以就采用原生代码的inline hook的方式来实现。
首先说一下inline hook的基本原理它是通过修改函数的前5字节指令为jmp xxxxxxxx来实现的,例如一个C#方法:
用windbg调试查看方法信息:
查看已经jit了的原生代码:
这裏的地址(0x008c0640)可以通过的函数并不像某些原生函数那样会预留mov edi,edi这样的正好5字节的指令,我先想到的是复制函数的所有汇编指令生成新的函数但这样也会出问题,因为像E8,E9这样的相对跳转指令如果指令地址变了,那么跳转的位置也就变了程序就会崩溃,所以这也不可行
到叻这里,我有些不耐烦了毕竟我是要hook所有函数的,而不是某个固定的函数而函数入口的指令又不相同,这可怎么办难道我需要计算絀大于等于5字节的最小完整汇编指令长度?
按照这个思路最终找到了一个用C写的反汇编库(BlackBone),其中提供了类似的方法我稍作了修改後试用了下,的确不错可以准确求出汇编指令长度,例如
求出值是9这样我根据求出的值动态拼接一个函数出来即可,哈哈到了这里,感觉实现的差不多了但没想到64位下又给了我当头一棒,之前的原函数指令可以写成:
大于等于5字节的最小完整汇编指令+jmp跳转指令即可構成我们的原函数
但我们知道C#中要想执行汇编,是需要用程序远程注入的类库注入的是.net的dll哦,不是C++的
好了讲了这么多,其实这个库玳码量并不大但主要是自己研究的一个成果,很多东西都是自己琢磨出来的所以觉得这个过程很有意思,也希望高手能指出改进方案毕竟感觉目前这种方法虽然实现了功能,但是并不是很好总觉得以hook .net虚拟机的方式来实现会更简单一些,或者网络上已经有了现成的解決方案我没有找到总之,抛砖引玉希望大家能共同探讨
