码迷,mamicode.com
首页 > 其他好文 > 详细

如何hook那些在IDA中显示为sub_xxx的函数

时间:2015-04-29 18:58:47      阅读:569      评论:0      收藏:0      [点我收藏+]

标签:

唉,说起来这就是一个坑,Cydia Substrate在其文档中也没找到详细说明,最后也只能来看看代码曾半仙最早给的那份substrate-master源码,然后一切就了然于胸了,这个坑很大,很大!!!
现在我们先来看下MSHookFunction怎么Hook IDA中的sub_xxxx函数,然后再来谈谈为啥是这样的。
技术分享

就以这段代码为例吧,下断点红色选中部分,中的sub_17C94就是我想要Hook的函数,首先确认了下参数个数为2个。
以下给出代码片段截图:
技术分享

看到这里我想很多人有点不理解,为啥需要 | 0x00000001,别急,下面我就借花献佛,慢慢道来也。
既然源头是出现在MSHookFunction上,那们我们就去阅读下这块的代码:
技术分享

技术分享

从这2 段代码中可以很明显的看到在SubstrateHookFunction中,看到这么一句
if ((reinterpret_cast(symbol) & 0x1) == 0)
也就是说,MSHookFunction在判断Hook函数的时候,是通过在传到进来函数地址的奇偶数来判断是ARM指令的函数,还是Thumb指令的函数。
这个坑好大,我勒个去啊!!!
别急,接下来看这句
reinterpret_cast(reinterpret_cast(symbol) & ~0x1)
判断完后,为了能正确Hook地址,又改回原来的地址了,这下变清楚了吧。
再者,从MSFindSymbol函数中也能清楚的看到**value |= 0x00000001**这句!!!

如何hook那些在IDA中显示为sub_xxx的函数

标签:

原文地址:http://www.cnblogs.com/dependence/p/4466418.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!