hook-usercall修饰的函数

       
原创   字数统计: 262字   |   阅读时长: 1min

usercall不是标准的调用约定,但是用IDA反编译时经常能看到,应该是IDA特有的

1
int __usercall sub_10017FF0@<eax>(int a1@<eax>, int a2@<ecx>, _BYTE *a3, _BYTE *a4)

这样的函数声明,这个是IDA自己定义的,这种使用寄存器传参可能是编译时被编译器优化的结果。如上例子则表示参数a1使用eax传递,参数a2使用ecx传递的。a2和a4是压栈
要hook这类函数的时候,我们可以写一个stub函数将usercall转换成调用__cdecl修饰的函数.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
//
int __cdecl sub_10017FF0 (int a1 , int a2, _BYTE *a3, _BYTE *a4)
{
//......具体实现代码
}
//中转stub
static void __declspec(naked) stub_sub_10017FF0()
{
        __asm
        {
                //按照顺序压入参数
                push [esp + 08h] // a4
                push [esp + 08h] // a3
                push ecx // a2
                push eax // a1
                // 调用实际实现hook代码的函数
                call sub_10017FF0
                //寄存器传参的参数也要pop
                add esp, 4 //  
                pop ecx // a2
                //堆栈平衡,这里有俩个参数是压栈的
                add esp, 4 // a3
                add esp, 4 // a4
                retn
        }
}

https://github.com/michael-fadely/usercall-hook

本文作者: KenYang
最后更新: 2024年03月29日 17:15:14
本文链接: http://shxi.cc/post/42ca8341.html
版权声明: 本作品采用 CC BY-NC-SA 4.0 许可协议进行许可,转载请注明出处!

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

    			  jsonContent:
				meta: false
				pages: false
				posts:
				  title: true
				  date: true
				  path: true
				  text: false
				  raw: false
				  content: false
				  slug: false
				  updated: false
				  comments: false
				  link: false
				  permalink: false
				  excerpt: false
				  categories: false
				  tags: true


new-yilia<br>一个简洁优雅的hexo主题