一次面试的问题:inline hook时如何稳定hook多线程下的四个字节的函数?
因为普通inline hook是覆盖五个字节长度,所以函数地址长度不够。
这种情况下可以采用热补丁hook。
比如随便进入一个LoadLibraryA函数
可以看到函数前有五个字节的nop
算上函数第一行的mov edi edi这两个字节为七个字节
这时修改函数开头的两个字节为改为短跳转指令(EB E9),使其跳到函数上边五字节处,然后再将这五个字节改为长跳转指令(E9 hook_address)相当于经过了一个中转进行hook。
这样即使Hook失败,也不影响函数的继续执行,从而在多线程下稳定运行。