这是一些标准的代码片段,我们在我们感兴趣的函数的开头安装钩子重写一些字节。我的问题是:为什么我们需要重新保护一段重写的记忆?我们不能只保留PAGE_EXECUTE_READWRITE权限吗?我们假设我们需要不断恢复原始字节并再次重新挂起。
if (VirtualProtect(funcPtr, 6, PAGE_EXECUTE_READWRITE, &dwProtect)) // make memory writable
{
ReadProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, Hook::origData, 6, 0); // save old data
DWORD offset = ((DWORD)hook - (DWORD)funcPtr - 5); //((to)-(from)-5)
memcpy(&jmp[1], &offset, 4); // write address into jmp
memcpy(Hook::hookData, jmp, 6); // save hook data
WriteProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, jmp, 6, 0); // write jmp
VirtualProtect(funcPtr, 6, dwProtect, NULL); // reprotect
}
答案 0 :(得分:8)
一旦门打开,任何人都可以走过。如果您已从内存范围中删除了写保护,则任何代码都可以更新该内存 - 而不仅仅是代码。内存无法知道您的(合法)代码是更新它与一些可能的恶意软件甚至只是加载到进程空间的普通错误DLL的代码。重新保护它有助于防止您的代码更新您想要更改的内存位置。