作者 | 榴莲

编辑 | 楌橪

HotFixHook也可以称为热补丁，这种HOOK方法本质上与InlineHook没有什么区别，但是它的效率更高，之所以这样，是因为HotFix的指令替换原理与Inline不同。InlineHook因为占用了函数头至少5个字节的空间，所以这种方式是影响函数正常运行的，如果需要在HOOK函数中调用原有的执行流程，那么就必须在调用原有流程之前卸载掉HOOK，也就是将被替换的字节码还原。而当退出之前如果想要继续接管这个函数，那么又需要将HOOK代码再次替换掉。

那么一来二去，每次调用HOOK函数都需要摘一次挂一次HOOK，造成了很大的资源浪费，导致效率降低。而HotFix采取了另外的替换思路。例如说MessageBoxA原有的函数实现是下图这样的：

如果是InlineHook，那么就会直接替换5个字节，变成下图这样：

而HotFixHook采取另外的思路，因为根据上面的第一张图可以发现，函数头的位置是8BFF，也就是mov edi，edi，这种代码本身在函数中并没有起到任何作用，也就说，即使破坏了这句硬编码，但是只要从函数地址加二的位置上开始执行，依然不影响函数的正常功能，也因此，我们可以将这两个字节替换成EB F9，也就是一个短跳指令，如下图：

此时我们就可以在75E034CB的位置往下数，此处地址距离函数头正好有5个字节的空间，那么我们就可以将JMP ADDRESS的指令放到这5个字节里。完成流程劫持的目的，并且，如果我们需要调用原始函数，只需要跳过短跳即可。修改完成后如下图：

下面，我们采用MessageBoxA的Hook作为例子，实际体验一下HotFixHook的实现方式。

 长按扫码，分享朋友圈

我这里采用的操作系统是Windows 10 20H2（19042.1288），集成开发环境采用的是Visual Studio 2017。那么我们先来创建一个DLL项目。步骤如下：

1.选择新建项目

2：选择Windows桌面->动态链接库（DLL），点击确定

3：注释#include “pch.h”,添加#include <Windows.h>。删除framework.h、pch.h以及pch.cpp文件。

4：配置

4.1 选择属性

4.2 修改运行库以及Spectre缓解，选择应用

4.3 修改预编译头，选择应用

5.   在每一个分支中，添加break，防止DLL注入失败。

6.   在MessageBoxA的函数名上F12，就可以看到函数原型

7.   复制出来，实现一个函数指针，以及一个HOOK后的执行流程函数

7.1 函数指针如下图：

7.2 HOOK后的函数如下图：

8.   接下来我们实现HOOK函数

9.   实现卸载HOOK函数

10.  在DLL_PROCESS_ATTACH与DLL_PROCESS_DETACH中分别调用HOOK与卸载HOOK函数

11.生成文件

12.取出文件到桌面或其他位置

13.测试HOOK效果

13.1.首先写一个目标程序，代码如下

13.2使用注入器（自行编写或网上下载，这里我用的是自己写的）将我们生成的模块注入到目标进程中。

正常情况下：

HOOK后：

到了这里，我们就完成了整个HotFixHook的代码编写

关于作者

作者：rkvir（榴莲老师）

简介：曾任某安全企业技术总监；看雪讲师；曾任职国内多家大型安全公司；参与*2国家级安全项目

擅长：C/C++/Python/x86/x64汇编/系统原理&

研究方向：二进制漏洞/FUZZ/Windows内核安全/内网攻防