C/C++ inline-hook（x86）高級函數內聯鉤子

🧵 C/C++ inline-hook（x86）高級函數內聯鉤子

引用：

fetch-x86-64-asm-il-size
C++ i386/AMD64平臺匯編指令對齊長度獲取實現

🧠 一、Inline Hook技術體系架構

Inline Hook是一種二進制指令劫持技術，通過修改目標函數的機器碼，將執行流重定向到自定義函數。其核心價值在于無需源碼即可監控或修改程序行為，廣泛應用于調試器（如x64dbg）、安全軟件（如殺毒引擎）和性能分析工具（如VTune）。

1.1 技術實現全流程

關鍵步驟詳解：

指令覆蓋：x86覆蓋5字節（E9+4字節偏移），x64覆蓋12-14字節（FF25+8字節絕對地址）

偏移計算：

// x86示例：跳轉偏移 = Hook函數地址 - (目標函數地址 + 5)
DWORD offset = (DWORD)HookedFunc - (DWORD)TargetFunc - 5;
BYTE jmp[5] = {0xE9, *(BYTE*)&offset};

?? 二、跳板（Trampoline）機制深度解構

直接調用原函數會導致 ??遞歸死循環??（因原函數入口已被 JMP Hook 覆蓋）。跳板通過 ??分離指令備份與執行流恢復?? 解決此問題。

2.1 跳板結構設計?

2.2 跳板結構與生成算法

LPVOID CreateTrampoline(uint8_t* target, size_t len) {LPVOID tramp = VirtualAlloc(NULL, len+5, MEM_COMMIT, PAGE_EXECUTE_READWRITE);// 1. 復制原始指令memcpy(tramp, target, len); // 2. 追加跳回指令（JMP回原函數+len）uint8_t* jmp_pos = (uint8_t*)tramp + len;*jmp_pos = 0xE9; *(DWORD*)(jmp_pos+1) = (DWORD)(target + len) - (DWORD)(jmp_pos + 5);return tramp;
}

指令級還原原理：
- 備份指令必須完整覆蓋被破壞的原始指令（如x86的5字節）
- 跳回地址需精確計算至目標函數+備份長度，避開被篡改區域

2.3 執行流恢復的線程安全挑戰

當多線程并發調用被Hook函數時：

寄存器一致性：跳板執行時需保持所有寄存器狀態與原函數入口一致
棧平衡機制：x86通過push ebp; mov ebp, esp建立棧幀，跳板需模擬此過程
調用約定兼容：確保stdcall/fastcall等約定不被破壞

🔒 三、多線程環境下的原子性與安全性保障

3.1 指令修改的競態風險

當線程A正在寫入跳轉指令時，若線程B執行到該區域：

撕裂讀取：可能讀取到半寫入狀態的無效指令（如僅寫入3字節）
CPU緩存失效：舊指令殘留在L1 Cache導致執行錯誤

3.2 工業級解決方案

方案	原理	優缺點
線程掛起	通過`SuspendThread`暫停所有線程，確保無并發執行	安全但導致進程卡頓
原子寫入	使用`InterlockedExchange64`單指令完成8字節寫入	僅限x64，且需指令長度對齊
熱補丁(Hot Patch)	利用函數頭部的`MOV EDI,EDI`（2字節）構造短跳轉，避免覆蓋執行中的指令	需編譯器支持（/hotpatch）

// 熱補丁實現示例（覆蓋7字節）
void HotPatchHook() {// 1. 在函數頭部上方5字節處寫入長跳轉（E9 xxxxxxxx）WriteJump((PVOID)((DWORD)TargetFunc - 5), HookFunc); // 2. 覆蓋頭2字節為短跳轉（EB F9）BYTE shortJump[2] = {0xEB, 0xF9}; WriteMemory(TargetFunc, shortJump, 2);
}

🧩 四、跨平臺實現差異與技術挑戰

4.1 架構差異與應對策略

問題	x86方案	x64方案	ARM方案
跳轉范圍	±2GB（近跳轉）	全64位地址（遠跳轉）	±32MB（B指令）
指令長度	5字節（JMP rel32）	14字節（MOVABS + JMP）	4-8字節（LDR+BR）
寄存器保護	依賴棧保存	需手動保存XMM0-XMM5	保護AAPCS定義的易失寄存器

// x64遠跳轉實現（14字節）
void WriteX64Jump(PVOID target, PVOID hook) {BYTE code[14] = {0xFF, 0x25, 0x00, 0x00, 0x00, 0x00, // FF25 00000000: JMP [RIP+0]0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00  // 絕對地址};*(ULONG_PTR*)(code + 6) = (ULONG_PTR)hook;WriteMemory(target, code, 14);
}

4.2 變長指令處理的可靠性設計

問題本質：x86指令長度不定（1-15字節），覆蓋5字節可能截斷指令

; 危險案例：覆蓋5字節破壞完整指令
MOV [EAX+ECX*4], 12345678h ; 完整指令占10字節

解決方案：
1. 反匯編引擎：使用Zydis/Capstone動態計算最小完整指令邊界
2. 跳板擴展：備份跨越指令所需全部字節，追加修復邏輯

🛠? 五、生產環境最佳實踐與演進方向

5.1 現代安全機制的規避策略

安全機制	影響	破解方案
DEP	阻止數據區執行跳板	申請PAGE_EXECUTE_READWRITE權限
ASLR	函數地址隨機化	動態解析API地址（GetProcAddress）
PatchGuard	Windows內核代碼簽名校驗	掛鉤非校驗區域（如KiFilterFiberContext）

5.2 性能優化與穩定增強

跳板池復用：預生成常用函數跳板，減少運行時分配開銷
延遲掛鉤：首次調用時再安裝Hook，避免啟動卡頓
棧幀探測：通過RBP鏈校驗調用路徑，防止遞歸崩潰

🚀 六、內聯鉤子及跳板的實現

1.1 演示效果

在這里插入圖片描述

1.2 工程實現

#include <windows.h>
#include <cstdint>
#include <cstring>#ifdef _WIN64
#include <intrin.h>
#pragma intrinsic(_mm_sfence)
#endif// 函數指針類型定義
using message_box_ptr = int(WINAPI*)(HWND, LPCSTR, LPCSTR, UINT);// 全局變量
static message_box_ptr original_message_box = NULL;
static LPVOID trampoline_shellcode = NULL;
static size_t backup_length = 0;// 內存屏障
void memory_barrier() {
#ifdef _WIN64_mm_sfence();
#endif_ReadWriteBarrier();
}// 計算備份長度 (固定長度簡化版)
size_t calculate_backup_length() {return 5;  // x86需要5字節覆蓋
}// 創建跳板shellcode
LPVOID create_trampoline(uint8_t* target, size_t length) {// 計算跳回地址uintptr_t return_address = reinterpret_cast<uintptr_t>(target) + length;// 分配可執行內存LPVOID exec_mem = VirtualAlloc(NULL, length + 5,MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);if (!exec_mem) return NULL;uint8_t* shellcode_ptr = static_cast<uint8_t*>(exec_mem);// 1. 復制原始指令memcpy(shellcode_ptr, target, length);// 2. 添加跳回指令// x86: JMP rel32shellcode_ptr += length;*shellcode_ptr++ = 0xE9; // JMPDWORD jmp_offset = (DWORD)return_address - (DWORD)shellcode_ptr;*reinterpret_cast<DWORD*>(shellcode_ptr) = jmp_offset;// 刷新內存memory_barrier();FlushInstructionCache(GetCurrentProcess(), exec_mem, length + 5);return exec_mem;
}// Hook 函數實現
int WINAPI hooked_message_box(HWND hwnd, LPCSTR lp_text, LPCSTR lp_caption, UINT u_type) {char hooked_text[256] = { 0 };const char* prefix = "[HOOKED] ";// 安全組合新消息strcpy_s(hooked_text, sizeof(hooked_text), prefix);if (lp_text) {// 防止緩沖區溢出size_t prefix_len = strlen(prefix);size_t max_copy = sizeof(hooked_text) - prefix_len - 1;strncat_s(hooked_text, sizeof(hooked_text), lp_text, max_copy);}// 調用原始功能using trampoline_func = int(WINAPI*)(HWND, LPCSTR, LPCSTR, UINT);trampoline_func trampoline = reinterpret_cast<trampoline_func>(trampoline_shellcode);// 調試輸出OutputDebugStringA("Hooked function called");OutputDebugStringA(hooked_text);return trampoline(hwnd, hooked_text, lp_caption ? lp_caption : "Hooked MessageBox", u_type);
}// 安裝 Hook
bool install_hook() {// 1. 使用自定義函數作為源original_message_box = &MessageBoxA;// 2. 計算備份長度backup_length = calculate_backup_length();// 3. 創建跳板 Shellcodetrampoline_shellcode = create_trampoline(reinterpret_cast<uint8_t*>(original_message_box), backup_length);if (!trampoline_shellcode) {OutputDebugStringA("Failed to create trampoline shellcode");return false;}// 4. 構造跳轉指令到 Hook 函數uint8_t jump_code[16] = { 0 };uintptr_t hook_address = reinterpret_cast<uintptr_t>(&hooked_message_box);size_t jump_size = 0;// x86: JMP rel32 (5字節)jump_code[0] = 0xE9; // JMPDWORD jmp_offset = static_cast<DWORD>(hook_address) -(reinterpret_cast<DWORD>(original_message_box) + 5);*reinterpret_cast<DWORD*>(jump_code + 1) = jmp_offset;jump_size = 5;// 5. 寫入跳轉指令DWORD old_protect;if (!VirtualProtect(original_message_box, jump_size, PAGE_EXECUTE_READWRITE, &old_protect)) {OutputDebugStringA("VirtualProtect failed");return false;}// 使用內存屏障保證順序memory_barrier();// 寫入跳轉代碼memcpy(original_message_box, jump_code, jump_size);memory_barrier();FlushInstructionCache(GetCurrentProcess(), original_message_box, jump_size);DWORD temp;VirtualProtect(original_message_box, jump_size, old_protect, &temp);return true;
}// 示例用法
int main() {// 安裝Hook前測試MessageBoxA(NULL, "Pre-Hook Test", "Original", MB_OK);// 安裝Hookif (!install_hook()) {MessageBoxA(NULL, "Hook installation failed", "Error", MB_OK);return 1;}// 使用HookMessageBoxA(NULL, "Hello World", "Test", MB_OK);return 0;
}