HOOK(易语言高级部分)

Hook

API_HOOK核心代码

这里时绝对跳转 FF，同进程不用修改内存属性?

没有修改内存属性,照样可行

HOOK同进程MessageBoxA

未HOOK前 MessageBoxA

HOOK后 MessageBoxA

我们正好把这7个字节改了.

mov eax,0x401A5F
jmp eax

类_InlineHook

这个类比先那个类要高级点,还可以调用原函数,和远程进程

整体思路
这个就是利用相对跳转。E9
修改被hook代码，执行相对跳转到我们的代码，我们的代码也可通过私有_新函数地址继续执行原先代码，也可不执行。

下图中的jmp是是跳到我们的函数

这里是私有_新函数地址保留的代码,从图中看可以继续跳到原先代码执行.

关于堆内存

例如建立一个文本变量A，你用HEAPALLOC申请内存，赋值给A后，当A进行下一次重新赋值时会自动调用HEAPFREE来释放之前的堆内存，易语言对文本、字节集等变量在堆上赋值时会自动调用HEAPFREE清空之前的堆内存，所以你不用管这个变量的堆内存，不管这个变量赋值多少次，在下次赋值时都会进行这个操作，所以不会有内存泄露。

http://bbs.eyuyan.com/read.php?tid=374658&page=3

关于函数参数

例如易语言在调用含自定义结构体的API时会先在堆上申请内存然后将自定义结构体转为字节集，然后再传入字节集的地址进栈里再调用这个API，调用完后再对着这个结构体将字节集的数据一个个填写进去。

还有一个更明显的例子就是易语言调用子程序时如果用的是“XXX子程序（）”的形式来调用（我想大部分都是这样），那么当子程序里有文本、字节集、数组、自定义结构体之类的参数时，那么传入进栈里的是指针的指针，对于文本和字节集参数来说传入的就是“取变量地址（）”而非“取变量数据地址”，用“&”取到的子程序地址并不是真正的子程序地址，而只是一个外壳地址，这个外壳地址在平时是不起作用的（你可以在OD里对这个地址下断，调用子程序时会发现OD根本不会断下来），一般是在做回调函数的时候才会起作用，例如APIHOOK的时候就会用到“&”取到得子程序外壳地址做回调函数，这个外壳的作用就是将传入的数据------数据的指针
变为指针的指针。

http://bbs.eyuyan.com/read.php?tid=374957&page=1

这也就解释了,因为多了一层中间指针
第一次eax 取的是中间指针,第二次取得才是实际地址,具体过程如下
主要在图中标记第二步骤

关于JMP

0xFF JMP 远跳 eax取值
0xE8 CALL 后面的四个字节是地址
0xE9 JMP 后面的四个字节是偏移 RVA = 目标地址-(指令所在地址+指令长度)
0xEB JMP 后面的二个字节是偏移负数补码比如F9是EIP向前移动7个字节

"减一取反"和"取反加一"等价
已知补码求源码也可取反 + 1，分正数和负数，负数的补码= 正数取反 + 1
补码的补码是原码

总结

HOOK 很好很强大.