ScyllaHide的Hook原理

Hook是通过修改程序代码或数据，达到改变程序逻辑的目的。Hook种类很多，ScyllaHide主要使用的是inline hook，也就是在运行的流程中插入跳转指令（call/jmp）来抢夺程序运行流程的一个方法。 Hook根据系统版本（win7、win8、win10等）、cpu架构（x86、x64）、子系统类型（是否是wow64进程），实现由细微差别。本节只讨论win7、x64下32位进程（即wow64进程）的情况，其他情况请大家自己分析。 下面是针对目标环境（win7、x64下32位进程），我们将ScyllaHide所有API的hook类型进行统计，结果如下图（hook类型统计图）所示： ScyllaHide究竟做了什么抛开源码，我们先通过工具查看下ScyllaHide对程序做了什么，然后再分析它怎么实现的。实验和代码结合，相辅相成，更容易理解其原理。 首先， ………………………………