前兩天看Intel網站上貼了一篇關于設置HOOK的文章,講到在多核CPU上,由于執行代碼可能存在CPU CACHE里,因此當更改了函數起始6字節后,CPU CACHE里的對應內容并沒有被修改,所以需要調用 FlushInstructionCache() 函數來更新CACHE。
更新后的代碼如下,增加的代碼以粗體標出了。
/**?通過地址來設置某個函數的鉤子函數
?@param?HANDLE hApiHook - 由ApiHook_Init()函數生成的句柄?
?@param?DWORD dwSrcFuncAddr - 源函數地址?
?@param?DWORD dwNewFuncAddr - 鉤子函數地址?
?@return?INT (by default) - -1表示失敗,>=0表示在hook數組中的序號?
*/
INT ApiHook_SetByAddr(HANDLE hApiHook, DWORD dwSrcFuncAddr, DWORD dwNewFuncAddr)
{
?DWORD?dwOldProtect;
?DWORD?dwNewProtect;
?DWORD?? lpSrcFunc;
??? DWORD?? lppNewFunc;
??? UINT???? i;
?INT??nAlreadyFlag = 0;
?APIHOOK??*pApiHook = (APIHOOK *)hApiHook;
?if ( NULL == hApiHook )
?{
??return -1;
?}
?lpSrcFunc = dwSrcFuncAddr;
??? /* 查找是否已被設置了鉤子 */
?for ( i = 0; i < pApiHook->uMaxFunctions; i++ )
?{
??if ( pApiHook->pHookData[i].dwSrcFuncAddr == lpSrcFunc )
??{
???/* 如果已經被設置了鉤子,僅僅改變. */
???nAlreadyFlag = 1;
???break;
??}
?}
?/* 如果沒有設置源函數的鉤子函數,在表中找出一個可供記錄的位置. */
?if ( i == pApiHook->uMaxFunctions )
?{
??for ( i = 0; i < pApiHook->uMaxFunctions; i++ )
??{
???if (pApiHook->pHookData[i].wFlag == 0 )
???{
????break;
???}
??}??
??if ( i == pApiHook->uMaxFunctions )
??{
???return -1;
??}
?}
??? /* 將新的鉤子函數地址記錄到表中 */
?pApiHook->pHookData[i].dwNewFuncAddr = dwNewFuncAddr;
?
?/* 以下這段代碼將源函數頭部6個字節保存到表中 */
?lppNewFunc = (DWORD)(&(pApiHook->pHookData[i].dwNewFuncAddr) );
?if ( !nAlreadyFlag )
?{
??/* 將源函數起始處6個字節保存到 byHeaderCode.中 */
??????? memcpy( pApiHook->pHookData[i].byHeaderCode, (const void *)lpSrcFunc, 6);
?}
??? /* 以下這段代碼將源函數首部6個字節改成為一條跳轉到新函數地址的指令 */
??? if ( VirtualProtect( (LPVOID)lpSrcFunc,
???????????????????????? 6,
???????????????????????? PAGE_EXECUTE_READWRITE,
???????????????????????? &dwOldProtect ) == 0 )
??? {
??????? /*
???????? * Failure.
???????? */
??????? return -1;
??? }
?
??? *(unsigned char *)lpSrcFunc = (unsigned char)0xff;
??? *(((unsigned char *)lpSrcFunc)+1) = (unsigned char)0x25;
??? memcpy( (void *)(lpSrcFunc+2),
??????????? (const void *)&lppNewFunc,
??????????? 4 );??????????????????????????? /* address? */
??? if ( VirtualProtect( (LPVOID)lpSrcFunc,
???????????????????????? 6,
???????????????????????? dwOldProtect,
?????? &dwNewProtect) == 0 ) {
??????? /*
???????? * Failure.
???????? */
??????? return -1;
??? };
?pApiHook->pHookData[i].wFlag = 1;
?pApiHook->pHookData[i].dwSrcFuncAddr = lpSrcFunc;
?/* 使用以下FlushInstructionCache調用來支持多核CPU上的CACAHE的更新,
? * 上面的代碼只更改了內存里的地址,沒有更改CPU CACHE里的對應內容。
? */
?FlushInstructionCache(GetCurrentProcess(), NULL, NULL);
?return (INT)i;
}
?
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1209218
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
