|
[求助]关于HOOK EAT的文章,我做了分析后并打上了注释,可是依然蓝屏,请指教
”太雷了“是什么意思呀? |
|
[求助]关于HOOK EAT的文章,我做了分析后并打上了注释,可是依然蓝屏,请指教
请大家指点呀,我感觉是可以的,因为我看到贴图了,请再多多指教,谢谢了 |
|
[求助]关于HOOK EAT的文章,我做了分析后并打上了注释,可是依然蓝屏,请指教
当代码执行到这里的时候 //问题出在下面这句上 opthdr =(IMAGE_OPTIONAL_HEADER *) ((PCHAR*)hMod+dosheader->e_lfanew+24);//JK:dosheader->e_lfanew会输出PE文件头的位置+24是因为IMAGE_FILE_HEADER结构占20个字节,而加4是因为Signature所占4个字节,这样就指向了IMAGE_OPTIONAL_HEADER的位置 exports = (PIMAGE_EXPORT_DIRECTORY)((PCHAR*)dosheader+ opthdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);//JK:exports保存了IMAGE_EXPORT_DIRECTORY结构变量的地址 pAddressOfFunctions=(ULONG*)((PCHAR*)hMod+exports->AddressOfFunctions); //JK:获得EAT的入口地址,EAT又双字的数组组成 pAddressOfNames=(ULONG*)((PCHAR*)hMod+exports->AddressOfNames);//JK:函数名字符串的地址表,根据这个地址表(由双字的数组组成)可获得函数名称的字符串 pAddressOfNameOrdinals=(USHORT*)((PCHAR*)hMod+exports->AddressOfNameOrdinals); //JK:保存用于去pAddressOfFunctions指向的EAT中取函数地址的索引值(这个索引值还与函数名字符串的地址表对应,这样就可通过函数名称返回函数的地址了) 会进入KeStackAttachProcess这个函数,好像是保护系统了。。。。 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值