1
當我用jmp操作碼覆蓋函數的第一個操作碼時,實際上我寫了5個字節(或jmp短爲2)。 但是如果另一個線程(來自同一個進程)在我改變它的時候會調用這個函數呢? 這將導致意外的行爲。 但我沒有找到任何解釋。鉤的物品igonre它,就像沒有問題。hooking,dll注入和線程安全
也許在win32api你使用mov edi,edi。但我的問題更具理論性
謝謝
A
回答
1
這很可能會導致問題。您可以在要更改的代碼上創建關鍵部分,並輸入關鍵部分以確保在更改代碼時進行獨佔訪問。
在相互訪問的情況下,正在執行的線程可以(理論上)看到第一個字節,然後繼續在接下來的4個字節(在長跳轉的情況下)執行跳轉。在調用的情況下,下一條指令(IP)在跳轉之前被推送,即當前爲5.理論上,ret可能導致該線程運行到未修改的指令中(例如,您可能需要一個nop) 。
這是全部的理論,但是你應該在改變代碼時避免互相訪問。
1
如果您注入特定進程,您可以暫停進程,安裝所有鉤子並在此之後繼續。
+0
不是100%,因爲一個線程可能會在執行鉤子覆蓋的指令的中間時暫停。 –
+2
也許你可以在更改代碼之前用GetThreadContext檢查特定線程的eip – defragger
+0
這應該使它成爲100%。我猜如果任何線程的eip都存在,那麼代碼可以等到所有線程都沒有eip,然後覆蓋指令。 –
相關問題
- 1. '安全'DLL注入
- 2. 休眠和線程安全:注入的SessionFactory線程安全嗎?
- 3. Interop.Domino dll線程安全嗎?
- 4. 注入LD_PRELOAD和線程安全的線程
- 5. DLL注入,線程和內存釋放
- 6. C++ hooking ws2_32.dll recv
- 7. DLL注入並創建線程錯誤
- 8. 嵌入Python線程安全
- 9. java線程安全:線程安全嗎?
- 10. PHP線程安全和非線程安全的Windows
- 11. 線程安全訪問數組和線程安全訪問
- 12. 彈簧注射 - 線程安全
- 13. Stanford CoreNLP註釋器線程安全嗎?
- 14. OSGI ServiceTracker和線程安全
- 15. SharedPreferences和線程安全
- 16. C++線程安全和notify_all()
- 17. python WSME和線程安全
- 18. urllib2和cookielib線程安全
- 19. Scintilla和線程安全
- 20. UIKit和GCD線程安全
- 21. NSNotificationCenter和安全多線程
- 22. 的ConcurrentHashMap和線程安全
- 23. 塊和ViewController線程安全
- 24. 線程安全和AfxMessageBox
- 25. CryptoAPI:CERT_STORE_PROV_MEMORY和線程安全
- 26. cTAKES和線程安全
- 27. 單例和線程安全
- 28. 塊,線程安全和NSMutableDictionary
- 29. 線程安全和`const`
- 30. Azure WebJobs和線程安全
關鍵部分不會幫助,因爲只有您的代碼將使用它。當你的線程擁有關鍵部分時,不屬於你的線程將簡單地執行指令。 –