Ganci: perché è necessario ricorrere a VirtualProtect() per ripristinare le autorizzazioni?

Question

Ecco un pezzo di codice standard in cui installiamo l'hook riscrivendo alcuni byte all'inizio della funzione di nostro interesse. La mia domanda è: perché abbiamo bisogno di riproteggere un pezzo di memoria riscritta? Non possiamo lasciarlo solo con le autorizzazioni PAGE_EXECUTE_READWRITE? Presumiamo qui che abbiamo bisogno di ripristinare costantemente i byte originali e di riprovare di nuovo.

if (VirtualProtect(funcPtr, 6, PAGE_EXECUTE_READWRITE, &dwProtect)) // make memory writable 
{ 
    ReadProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, Hook::origData, 6, 0); // save old data 
    DWORD offset = ((DWORD)hook - (DWORD)funcPtr - 5); //((to)-(from)-5) 
    memcpy(&jmp[1], &offset, 4); // write address into jmp 
    memcpy(Hook::hookData, jmp, 6); // save hook data 
    WriteProcessMemory(GetCurrentProcess(), (LPVOID)funcPtr, jmp, 6, 0); // write jmp 
    VirtualProtect(funcPtr, 6, dwProtect, NULL); // reprotect 
} 

Answer 1

Una volta aperta la porta, chiunque può attraversarla. Se hai rimosso la protezione da scrittura da un intervallo di memoria, qualsiasi codice può aggiornare quella memoria, non solo il tuo codice. La memoria non ha modo di sapere che il tuo codice (legittimo) è quello che lo aggiorna contro qualche possibile malware o anche solo una semplice DLL buggy che viene anche caricata nello spazio del processo. La riproduzione ripetuta aiuta a prevenire il non-codice durante l'aggiornamento delle posizioni di memoria che si desidera modificare.