windows 32位以及64位的inline hook

Tips ： 这篇文章的主题是x86及x64 windows系统下的inline hook实现部分。

32位inline hook

对于系统API的hook，windows 系统为了达成hotpatch的目的，每个API函数的最前5个字节均为：

8bff   move edi,edi

55     push ebp

8bec  mov ebp,esp

其中move edi,edi这条指令是为了专门用于hotpatch而插入的，微软通过将这条指令跳转到一个short jmp，然后一个long jmp可以跳转到任意4G范围内的代码（http://blogs.msdn.com/b/oldnewthing/archive/2011/09/21/10214405.aspx），达到运行中替换dll的目的。

假设我们要求把0x12345678这个地址的函数hook，使其跳转到0x12345690，我们可以将这5个字节替换为：0xe9 (0x12345690-0x12345678-5) ，以达到跳转到0x12345690这个地址的目的（此处，注意大小端系统的区别），这条指令是相对跳转。

64位inline hook

64位系统没有了上面这样的方便之处，因此必须有一种新的策略。

64位的跳转，可用两种方法，下面两个方法都是绝对跳转指令，第一个影响rax寄存器，可能需要先保存原来的rax的值：

1,

48 b8 ef cd ab 89 67 45 23 01   mov rax, 0x0123456789abcdef
ff e0                           jmp rax

2,

0xff25 [0x00000000]

0xef cd ab 89 67 45 23 01

这里用第二种方法，将一个old_func_address的前x个字节修改为跳转到我们的new_func_address，步骤：

1，反汇编old_func_address处的指令，累加其长度，依次反汇编下去，直到长度大于12，例如为15；

2，复制这15个字节的指令，将old_func_address的前12个字节修改为:0xff25 0x00000000 new_func_address（8个字节）；

3，跳转完成之后将其前15个字节还原。

这个方法要求函数长度大于15个字节，所以有一个方法用于适用于小于15字节长度的函数：

通过一个0xe9 tmp_address跳转到我们申请的空间（该空间地址与old_func_address的间隔在4G范围内，通过VirsualAlloc函数达成），在tmp_address处再long jmp（0xff25 …）。

这里贴一个得到指令长度的网址：http://bbs.pediy.com/showthread.php?t=147401，附件上传到网盘：http://pan.baidu.com/s/1o6yh1Rc

上述是我工作中用过的方法，可行。如有错误或建议，请留言，谢谢。