1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

HookLib

Тема в разделе "WASM.PROJECTS", создана пользователем HoShiMin, 11 фев 2019.

  1. HoShiMin

    HoShiMin Active Member

    Публикаций:
    0
    Регистрация:
    17 дек 2016
    Сообщения:
    318
    Адрес:
    Россия, Нижний Новгород
    При всём разнообразии библиотек для перехвата функций, не видел ни одной, использующей лишь NativeAPI. Решил написать свою.

    Итак, либа:
    • Написана на чистом си
    • Основана на самом быстром и легковесном дизассемблере Zydis
    • Использует только NativeAPI
    • Патчит дисплейсменты в инструкциях и контексты потоков
    • Поддерживает и юзермод, и ядро

    Ссылочка на гитхаб:
    https://github.com/HoShiMin/HookLib
     
    Ronin_, __sheva740 и Aiks нравится это.
  2. sty

    sty Member

    Публикаций:
    0
    Регистрация:
    2 фев 2019
    Сообщения:
    105
    Очень интересно. Особенно, если учесть возраст ТС. В том смысле, что какой сложности будут его проекты, когда пройдет лет 10-15? И самое главное(для меня имеется в виду) у человека есть своя разработка визора, которая, судя по отзывам, - достаточно неплохая. Вот жалко я чуть раньше не знал об этом. Я бы тогда тут с одним крутым специалистом - здороваться даже не стал, а не только просить его о чем-либо или задавать ему вопросы :).

    HoShiMin, удачи вам во всех ваших проектах.
     
  3. HoShiMin

    HoShiMin Active Member

    Публикаций:
    0
    Регистрация:
    17 дек 2016
    Сообщения:
    318
    Адрес:
    Россия, Нижний Новгород
    К сожалению, не моя: концепцию и общую архитектуру позаимствовал у китайского ресёрч-инженера Satoshi Tanda, а сам лишь немножко причесал код, немножко дополнил. Посмотри его визор SimpleSvm - очень хороший образец хорошего кода и продуманной архитектуры!
    Спасибо ^_^
     
  4. superakira

    superakira Active Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    486
    lol это не васм 10 летней давности. авторитет на текущем весит чуть менее чем ничего. сюда заходят по старой памяти, не более.
    крайне забавно, имя им легион. ты считаешь за 20 лет такого не родилось?) я не хочу спорить, просто у меня только их штуки 3.
    посмотрел кодес - приколько, наверное работает.
    ты не думай, что стебусь, просто смысл такое постить - этого овердохера уже просто сделано за годы всем кем ни поподя. это старые задачи, которы ты написал на новый лад.

    из интересного и более-менее такого научного итд - это фреймворк по раскрутке стека например. те общего решения конечно нету, но полуавтоматика итд.
     
  5. HoShiMin

    HoShiMin Active Member

    Публикаций:
    0
    Регистрация:
    17 дек 2016
    Сообщения:
    318
    Адрес:
    Россия, Нижний Новгород
    Ни разу не видел) Все юзают MinHook, новый модный PolyHook, а чтобы чисто на NativeAPI - не встречался
     
  6. Rel

    Rel Well-Known Member

    Публикаций:
    0
    Регистрация:
    11 дек 2008
    Сообщения:
    2.198
    в чем плюсы конкретно этого дизассемблера?
     
  7. HoShiMin

    HoShiMin Active Member

    Публикаций:
    0
    Регистрация:
    17 дек 2016
    Сообщения:
    318
    Адрес:
    Россия, Нижний Новгород
    Наиболее полный, разрабатывается при поддержке интелa, быстрее капстона и интеловского XED'a, не тащит никаких зависимостей (даже от LibC), легковеснее остальных.
    А ещё в пользу Zydis'a говорит признание со стороны, например, x64dbg, который перешёл с капстона на него
     
    Последнее редактирование: 12 фев 2019
  8. Rel

    Rel Well-Known Member

    Публикаций:
    0
    Регистрация:
    11 дек 2008
    Сообщения:
    2.198
    не, я о том, что в принципе дизассемблер для хуков не нужен, нужен только дизассемблер длин... есть же всякие LDE: https://github.com/BeaEngine/lde64
     
  9. HoShiMin

    HoShiMin Active Member

    Публикаций:
    0
    Регистрация:
    17 дек 2016
    Сообщения:
    318
    Адрес:
    Россия, Нижний Новгород
    А Zydis тем и хорош, что его можно собрать как отдельный дизасм длин, без декодинга мнемоник, без поддержки ненужных расширений, типа AVX, безо всего лишнего.
    Кроме того, он обновляется чуть ли не раз в неделю, а у LDE смотрим - последний раз обновлялся 4 года назад.
     
  10. Rel

    Rel Well-Known Member

    Публикаций:
    0
    Регистрация:
    11 дек 2008
    Сообщения:
    2.198
    понял, остыл)
     
  11. superakira

    superakira Active Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    486
    HoShiMin, минхук в "проде" не юзается. он шибко палится)
    sty, ты не понял. мне по сути все равно. просто если человек находится в стадии, когда хочет накодить для мира/себя на паблик, то это конечно одобрямс! но тратить время на что уже есть смысла для людей нету. лучше потратить время на то чего нету. а такого не мало, но это имхо. минздрав может делать что хочет, васм == хип)

    такие дела.
     
  12. HoShiMin

    HoShiMin Active Member

    Публикаций:
    0
    Регистрация:
    17 дек 2016
    Сообщения:
    318
    Адрес:
    Россия, Нижний Новгород
    Смотря в каком проде) Вообще, думаю, абсолютно все паблик-хуклибы уже в блэклистах, но я не для VX-целей писал (скорее, даже, наоборот - для антиинжектов) - мне нужен был именно минимум абстракций, поэтому и NativeAPI (даже задумывался о прямых вызовах сисколлов). А в паблике действительно ни одной хуклибы без зависимости от k32 не видел. Хотя, возможно, просто плохо искал. Скажем, это был такой челлендж!
     
  13. superakira

    superakira Active Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    486
    HoShiMin, да, так и есть, по этому все наколхозили себе велосипеды)
    sty, я не обижаюсь. я никого не принуждаю и не указываю, а обращаю внимание. хорошЪ брюзжать короче). мне все равно сколько ему лет. это интернеты детка)
    ты упоролся, где я это сказал? кодит парень и ладно. капец
     
  14. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    521
    HoShiMin, спасибо за либу, будем посмотреть:)

    Выложите? А у вас обфускатора API нигде не завалялось? Любого двигателя, по любой технике обфускации?
     
  15. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    521
    sty, наоборот стараюсь на "вы". Мож где то забылся - сорри. Ну ибо так считаю правильным, никого не склоняю к подобному поведению, лишь сам придерживаюсь:)