必知必会-Hot Patch(热补丁)的两种方案
素闻hot patch热补丁,它到底是个什么鬼?我之前只听说过,它很给力,实际上我在小学时候已经听说热补丁,国防科大教授让我们给系统打热补丁。
先看这里:
-
- 我想出来的办法代码是
- 热补丁Hook多线程下InlineHook解决方法-文章作者的做法
- 我的分析截图
- 原文
- 优缺点分析
如何对多线程程序进行补丁正是另人苦恼的事情,前两天因为工作遇到要inline hook的问题:
我想出来的办法+代码是:
- 先修改
mov edi,edi为原地死循环。 - 然后修改余下的
push ebp mov ebp,esp为即将跳转过去的部分长度 - 再修改死循环的两个字节为:E9 + XX//跳转的一部分
*p = (WORD)0xFEEB;//实为EBFE JMP $
/*
mov edi,edi 0x8b 0xff
push ebp 0x55
mov ebp,esp 0x8b 0xecvoid Work();
bool Init();
void Patch();
/*
1. 准备好
2. 先修改造成死循环
8B FF
修改成:
EB FE
3. 半修改
8B FF 55 8B EC
E9 12 34 56 78//jmp 到我们的dll里面
//对参数对比,修改后进行处理。
//
4. 恢复
利用了原子操作
*/
FARPROC pSystemAddress = nullptr;
FARPROC pWorkAddress = nullptr;
DWORD oldProtect;
DWORD lengthChange = 0x5;
char* ByeAddress = nullptr;//回跳地址
bool Init(){
//HMODULE hModule = LoadLibrary(L"kernel32.dll");
bool suc = false;
HMODULE hModule = GetModuleHandle(L"kernel32.dll");
if (hModule == 0)
{
return false;
}
pSystemAddress = GetProcAddress(hModule, "CreateProcessW");//能不能获取?
if (pSystemAddress == 0)
{
return false;
}
//hModule = GetModuleHandle(NULL);
//if (hModule==0)
//{
// return false;
//}
pWorkAddress = (FARPROC)Work;
if (pWorkAddress == 0)
{
return false;
}
ByeAddress = ((char*)pSystemAddress) + 5;
return true;
}
//1修改页面属性
//2写地址
//3恢复属性
void Patch(){
VirtualProtect(pSystemAddress, lengthChange, PAGE_EXECUTE_READWRITE, &oldProtect);
PWORD p = (PWORD)pSystemAddress;//修改成死循环,防止出问题
*p = (WORD)0xFEEB;//实为EBFE
int offset = (DWORD)pWorkAddress - (DWORD)pSystemAddress - 5;
*(((char*)p) + 2) = *((char*)(&offset) + 1);
*(((char*)p) + 3) = *((char*)(&offset) + 2);
*(((char*)p) + 4) = *((char*)(&offset) + 3);
*p = (WORD)(0xE9 + (((WORD)(*((char*)(&offset) + 0))) << 8));
VirtualProtect(pSystemAddress, lengthChange, oldProtect, &oldProtect);
}
//尽力避免冲突
//1修改页面属性
//2查看bWork;...........
//2写地址
//3恢复属性
void UnPatch(){
VirtualProtect(pSystemAddress, lengthChange, PAGE_EXECUTE_READWRITE, &oldProtect);
PWORD p = (PWORD)pSystemAddress;//修改成死循环,防止出问题
*p = (WORD)0xFEEB;//实为EBFE JMP $
/*
mov edi,edi 0x8b 0xff
push ebp 0x55
mov ebp,esp 0x8b 0xec
*/
*(((unsigned char*)p) + 2) = 0x55;
*(((unsigned char*)p) + 3) = 0x8b;
*(((unsigned char*)p) + 4) = 0xec;
*p = (WORD)(0x8b + (0xff << 8));
VirtualProtect(pSystemAddress, lengthChange, oldProtect, &oldProtect);
}
/*
防止内容在Work()中
看标记呗
4. 全修改
裸函数
//获取字符串指针
mov eax,[ebp+4]//因为是push ebp之前所以+4
pushad
LPVOID str;
mov str,eax
wcsstr()//是否子串,返回位置,为NULL则不是。
je bye
//字符串复制
。。。。。。
对参数对比,修改后进行处理。
pushad
获取字符串对比之
是:
- 增加字符跳回:
否:直接跳回:
: bye
_asm popad
_asm push ebp
_asm mov ebp,esp
jmp 接下来的位置
lstrcmp
*/
bool bWork = false;
WCHAR LockHomePage[] = L"\"C:\\Users\\Administrator\\AppData\\Roaming\\360se6\\Application\\360se.exe\" http:\\\\pediy.com";
WCHAR NeedCmpString[] = L"\"C:\\Users\\Administrator\\AppData\\Roaming\\360se6\\Application\\360se.exe\" ";
/*是否需要释放原来的指针需要跟踪*/
void __declspec(naked) Work(){//需要裸函数
_asm {
mov bWork, 1//true
push ebp
mov ebp, esp
mov eax, [esp + 0xC] //得到字符串,对比之
push eax
lea eax, NeedCmpString
push eax
call lstrcmpW
cmp eax, 0
jne bye
lea eax, LockHomePage
mov[esp + 0xC], eax
bye :
mov bWork, 0//false
mov eax, ByeAddress
jmp eax
}
}“热补丁”Hook,多线程下InlineHook解决方法-文章作者的做法:
https://www.cnblogs.com/Toring/p/6664481.html
我的分析+截图
黄色区域为CreateProcessW的入口地址
先布置好劫持到目标的跳转在没有影响的区域:0x75861038
E9 XX XX XX XX替换原来的NOP NOP NOP NOP NOP
将入口
mov edi,edi改成EB F9,构成一个死循环。
patch后:
只要双字节修改没有冲突即可,这个CPU和内存应当可以保证。
以下是
原文:
“热补丁”(hot patch)是微软提出的一种安全Hook的机制,也是为了方便开发者对某些API函数进行下钩子。这种方法不同于普通的Inline hook更改首部的五个字节,而是更改首部的七个字节。为什么是七个字节呢?下边我们来讲一下这个的原理。
我们可以看到CreateProcessW函数的首字节为 mov edi,edi(88 FF),这句汇编意思就是将edi的值放入edi,实际上并没有什么用,我们还看到在这个API上边有大段无用的字节。这就给了我们一种新的Hook思路,即将前两个字节改为短跳转指令(EB E9),使其跳到函数上边五字节处,然后再将这五个字节改为长跳转指令(E9 xxxxxxxx)。这样,即使Hook失败,也不影响函数的继续执行。
接下来我们用代码来实现这一功能:
// HotPatch.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include 需要注意的是使用这一方法钩取的适用条件(NOP*5指令+MOV ESI,ESI),使用的时候一定要反汇编看一下目标函数是否满足条件。
优缺点分析
两种方案都能达到目的,都是基于单个字节操作是线程安全的。
我的方案使用了两次该操作,而另一种方案是使用了一次该操作。
我推荐第二种方案,直观。