个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
在 x86 中,我使用 GetProcAddress() 获取函数地址并编写一个简单的 XOR EAX,EAX; RET 4; 在里面。简单有效。我如何在 x64 中执行相同的操作?
bool DisableSetUnhandledExceptionFilter()
{
const BYTE PatchBytes[5] = { 0x33, 0xC0, 0xC2, 0x04, 0x00 }; // XOR EAX,EAX; RET 4;
// Obtain the address of SetUnhandledExceptionFilter
HMODULE hLib = GetModuleHandle( _T("kernel32.dll") );
if( hLib == NULL )
return false;
BYTE* pTarget = (BYTE*)GetProcAddress( hLib, "SetUnhandledExceptionFilter" );
if( pTarget == 0 )
return false;
// Patch SetUnhandledExceptionFilter
if( !WriteMemory( pTarget, PatchBytes, sizeof(PatchBytes) ) )
return false;
// Ensures out of cache
FlushInstructionCache(GetCurrentProcess(), pTarget, sizeof(PatchBytes));
// Success
return true;
}
static bool WriteMemory( BYTE* pTarget, const BYTE* pSource, DWORD Size )
{
// Check parameters
if( pTarget == 0 )
return false;
if( pSource == 0 )
return false;
if( Size == 0 )
return false;
if( IsBadReadPtr( pSource, Size ) )
return false;
// Modify protection attributes of the target memory page
DWORD OldProtect = 0;
if( !VirtualProtect( pTarget, Size, PAGE_EXECUTE_READWRITE, &OldProtect ) )
return false;
// Write memory
memcpy( pTarget, pSource, Size );
// Restore memory protection attributes of the target memory page
DWORD Temp = 0;
if( !VirtualProtect( pTarget, Size, OldProtect, &Temp ) )
return false;
// Success
return true;
}
此示例改编自此处的代码:http://www.debuginfo.com/articles/debugfilters.html#overwrite .
最佳答案
在 x64 中,返回值在 RAX 中,它是 EAX 的 64 位版本。但是因为写32位子寄存器时高32位被清零,所以“xor eax, eax”等同于“xor rax, rax”,不需要改变。
但是,由于调用约定在 x64 上不同,相同的返回指令在那里不起作用:在 x86 winapi 函数中使用 stdcall 约定,被调用者从堆栈中弹出参数(因此是“retn 4”指令,它将 SetUnhandledExceptionFilter 中的一个参数从堆栈中弹出(您可能想在代码中修复该注释)) .在 x64 中,调用者不会清除堆栈,因此需要使用普通的“retn”指令:
const BYTE PatchBytes[3] = { 0x33, 0xC0, 0xC3 }; // XOR EAX,EAX; RET;
关于winapi - 如何在运行时修补 Windows API 以便它在 x64 中返回 0?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3010626/
24
4
0
我在修补自定义类时遇到问题'__init_subclass__ .我认为这与我将修补函数绑定(bind)到类的方式有关: def _patched_initsubclass(cls, **kwargs
我有基于 ARM 的设备,并且板载 Linux。由于某些原因,刷新自定义内核非常困难(uBoot 无法通过 tftp 或其他方式加载内核) 我需要测试我的自定义内核。所以,想法是-替换内存中的内核。您
今天我在远程调试一个客户的问题,我没有构建一个全新的安装并将其发送给他,而是编译了dll,确保版本信息与他安装的版本信息相同,并替换了旧的dll使用我刚刚在他的机器上构建的一个(为了以防万一,备份了另
将简单补丁应用于 Rails 应用程序中的 Ruby gem 的最佳方法是什么? 是否可以保持原始 gem 代码不变? 最佳答案 是的,这是可能的。只需打开类,为有问题的方法取别名,并提供您自己的实现
我正在尝试修补 __new__一个类的方法,它没有按我预期的那样工作。 from contextlib import contextmanager class A: def __init__(
我想将 MediaWiki 从 1.23.1 打补丁到最新的 1.23.4(在 Ubuntu 12.04.5 上)我计划使用补丁:https://www.mediawiki.org/wiki/Manu
假设我修补并模拟了某些实现读取多个文件的函数 foo()。所以我们有多个 open() 调用: def foo(): a=open("stuff.txt") b=open("anoth
我开始使用pathlib,并且在很大程度上非常喜欢使用它。我遇到的问题是由于方法而不是函数的性质而对其进行测试。 def test_correct_dir_was_made(self): wi
我有一个 NSOperation,Authenticate,它通过服务器进行身份验证。 我有另一个操作,类型为 AFJSONRequestOperation 的 fetchImage,它依赖于 Aut
我有简单的 Angular FormBuilder 表单(在 Ionic 2 应用程序中),包含 3 个字段: constructor(public navCtrl: NavController, p
我们在 Glassfish 3.1.2.2 中遇到了一个错误(具体来说,在 Metro 模块中的 WSEndpointImpl 类中),该错误已修复,但有望在 Glassfish 4.0 或 3.1
我有很好的基础测试类,它从 django 测试用例和另一个类扩展而来: class MyTestCase(TestCase, TestFreshProvisionedEachTest): 现在一切正
我有两个 CSV 文件,即 test1.csv 和 test2.csv,由自定义分隔符管道符号 (|) 分隔。我通过 diff 命令获取他们的更改,如下所示 diff test2.csv test1.
我正在用 C 编写程序,并且使用内联汇编。在内联汇编代码中有一些地址,我想在运行时修补它们。 代码的快速示例是这样的: void __declspec(naked) inline(void) {
我有兴趣修补一个文件中由另一种方法调用的方法。示例-original.py 文件包含- def A(): a = 10 b = 5 return a*b; def B(): c
我正在尝试创建一个进程来修补我们当前的 Java 应用程序,以便用户只需要下载差异而不是整个应用程序。我认为我不需要像二进制 diff 那样低级别,因为大多数 jar 文件都很小,所以替换整个 jar
假设我已经将一个 PE 可执行文件加载到内存中并使其适合 dos、nt header 结构,现在我想找出它的 .text/code segement actual(不是 VA)offset+size
我想修补一些使用来自外部模块的对象的代码。 这个对象的一个方法被到处调用,我需要在所有这些调用中设置一个新的默认 kwarg。 与其添加这么多重复的代码,我认为更改对象方法会更好。最干净的方法
我刚刚创建了用户 * 故事表和模型,定义了如下所示的关系 在用户模型中 public function stories() { return $this->hasMany(\A
如果您有虚拟机,则需要在每个补丁星期二应用补丁,并确保操作系统是最新的以防止安全问题。 如果您获得 PAAS Azure WebApp,Microsoft 会负责修补底层操作系统吗? 如果是这样,发生
我是一名优秀的程序员,十分优秀!