.NET 4及.Net 6 Method动态Hook/Redirect深入探索

nowthink · 发表于 2022-3-31 20:23

提示: 作者被禁止或删除内容自动屏蔽

Tsihen · 发表于 2022-7-21 19:14

补档来啦！！！被禁言的楼主抵挡不了学习的热情！
FireShot Capture 002 - .NET 4及.Net 6 Method动态Hook_Redirect深入探索 - 『脱壳破.png

Tsihen · 发表于 2022-7-21 19:17

kikyoulin 发表于 2022-7-6 21:23
这个机制让人无语又无奈，一言不合帖子都看不了了

39 楼补了

hszt · 发表于 2022-4-1 17:52

辛苦，感谢分享

wwh1004 · 发表于 2022-4-1 22:14

本帖最后由 wwh1004 于 2022-4-1 22:17 编辑

MethodDesc这个类本身只有8字节的，如果你偏移都超过8字节了，那一般来说就不是MethodDesc了，你应该是替换了其它成员，然后编译后代码地址基本上不在MethodDesc里面。
class MethodDesc
{
  /* 0x0000 */ unsigned short m_wFlags3AndTokenRemainder;
  /* 0x0002 */ unsigned char m_chunkIndex;
  /* 0x0003 */ unsigned char m_bFlags2;
  /* 0x0004 */ unsigned short m_wSlotNumber;
  /* 0x0006 */ unsigned short m_wFlags;
}; /* size: 0x0008 */
MethodDesc还有很多子类比如对于泛型方法的InstantiatedMethodDesc，对于PInvoke方法的NDirectMethodDesc
可以说明下替换的具体是哪个成员，是不是对所有类型的方法都可以Hook
最后就是这样Hook可以实现在Detour方法内调用原方法么？

nowthink · 发表于 2022-4-1 22:54

提示: 作者被禁止或删除内容自动屏蔽

lyliucn · 发表于 2022-4-2 09:04

辛苦，感谢分享。

chinasmu · 发表于 2022-4-2 12:39

强！

请问不会windbg，单用x64dbg分析起来方便吗

chinasmu · 发表于 2022-4-2 15:07

另外向楼主安利下DotNetDetour这个库，DotNetHook库非静态类hook时需要传入实例对象，限制感觉比较大

xlwllm · 发表于 2022-4-3 16:08

限制感觉比较大

fxg134 · 发表于 2022-4-3 21:08

新手先Mark一下，正在学习中

paralla · 发表于 2022-4-3 22:12

太厉害了。

帐号		自动登录	找回密码
密码			注册[Register]

nowthink nowthink 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	nowthink 发表于 2022-3-31 20:23 提示: 作者被禁止或删除内容自动屏蔽本帖被以下淘专辑推荐: · 超值仓库\|主题: 828, 订阅: 384
	发帖前要善用【论坛搜索】功能，那里可能会有你要找的答案或者已经有人发布过相同内容了，请勿重复发帖。
	回复举报

[.NET逆向] .NET 4及.Net 6 Method动态Hook/Redirect深入探索

本帖被以下淘专辑推荐:

免费评分

免费评分

nowthink nowthink 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	楼主\| nowthink 发表于 2022-4-1 22:54 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报