这是一些标准的代码片段,我们在其中安装了钩子(Hook),在我们感兴趣的函数的开头重写了一些字节。我的问题是:为什么我们需要重新保护一 block 重写的内存?我们不能只保留 PAGE_EXECUTE_READWRITE 权限吗?我们在这里假设我们需要不断地恢复原始字节并再次重新 Hook 。
if (VirtualProtect(funcPtr, 6, PAGE_EXECUTE_READWRITE, &dwProtect)) // make memory writable
{
ReadProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, Hook::origData, 6, 0); // save old data
DWORD offset = ((DWORD)hook - (DWORD)funcPtr - 5); //((to)-(from)-5)
memcpy(&jmp[1], &offset, 4); // write address into jmp
memcpy(Hook::hookData, jmp, 6); // save hook data
WriteProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, jmp, 6, 0); // write jmp
VirtualProtect(funcPtr, 6, dwProtect, NULL); // reprotect
}
最佳答案
一旦门打开,任何人都可以通过。如果您已从内存范围中删除写保护,则任何代码都可以更新该内存 - 而不仅仅是您的代码。内存无法知道您的(合法)代码是更新它的代码,而不是一些可能的恶意软件,甚至只是也加载到进程空间中的普通错误 DLL。重新保护它有助于防止非您的代码更新您要更改的内存位置。
关于c++ - Hook : why do we need to VirtualProtect() again to restore permissions?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13461771/