对堕落天才大牛写的SSDT HOOK一个迷惑之处-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼那个jmp是内嵌汇编代码。你只要编译完后把sys拖到IDA里，看看这两种写法到底各自被编译成什么样子了，你就明白要采取哪一种写法了。 2009-11-26 19:06 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 3 楼 JmpAddress 的值不是ntopenprocess的地址偏移10的地址么？为什么还要加[] ,我看程序被编译成jmp dword ptr [xxxxxx]的形式了 2009-11-26 19:09 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 4 楼应该一个6字节一个5字节区别很大 ^-^ 2009-11-26 19:11 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 5 楼不会吧，都是位于内核中的地址啊......... 2009-11-26 19:15 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 6 楼额，我试了一下似乎两者编译出来结果没区别…… 2009-11-26 19:43 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 7 楼怎么会没区别呢，想不通，一个是地址，一个是地址中的地址 2009-11-26 20:19 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼你按照字面上的理解好像是那个样子的，但是实际上编译出来的（编译器解释后的）不一样就是你想像的那个样子（比如在那个jmp里面JmpAddress，编译器到底把它当成C代码中相应变量所在的地址还是其值）。所以对这种C内嵌汇编的，一定要在编译后再反汇编看一下编译出来的代码到底跟你的原始意图是不是一样。如果用内嵌汇编不纯熟，编好了程序结果不对劲之后，如果只会按照自己理解的字面意思猜来猜去，只能是自己想不通，实际上反汇编调试看一下到底变成了什么才是真正的解决之道。 2009-11-26 21:02 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 9 楼应该是要加[]号吧？如果不是的话，貌似JmpAddress本身的地址都不好取了？ 2009-11-26 21:49 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 10 楼嗯，明白了，谢谢大家的回答！ 2009-11-26 23:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼那个jmp是内嵌汇编代码。你只要编译完后把sys拖到IDA里，看看这两种写法到底各自被编译成什么样子了，你就明白要采取哪一种写法了。 2009-11-26 19:06 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 3 楼 JmpAddress 的值不是ntopenprocess的地址偏移10的地址么？为什么还要加[] ,我看程序被编译成jmp dword ptr [xxxxxx]的形式了 2009-11-26 19:09 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 4 楼应该一个6字节一个5字节区别很大 ^-^ 2009-11-26 19:11 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 5 楼不会吧，都是位于内核中的地址啊......... 2009-11-26 19:15 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 6 楼额，我试了一下似乎两者编译出来结果没区别…… 2009-11-26 19:43 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 7 楼怎么会没区别呢，想不通，一个是地址，一个是地址中的地址 2009-11-26 20:19 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼你按照字面上的理解好像是那个样子的，但是实际上编译出来的（编译器解释后的）不一样就是你想像的那个样子（比如在那个jmp里面JmpAddress，编译器到底把它当成C代码中相应变量所在的地址还是其值）。所以对这种C内嵌汇编的，一定要在编译后再反汇编看一下编译出来的代码到底跟你的原始意图是不是一样。如果用内嵌汇编不纯熟，编好了程序结果不对劲之后，如果只会按照自己理解的字面意思猜来猜去，只能是自己想不通，实际上反汇编调试看一下到底变成了什么才是真正的解决之道。 2009-11-26 21:02 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 9 楼应该是要加[]号吧？如果不是的话，貌似JmpAddress本身的地址都不好取了？ 2009-11-26 21:49 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 10 楼嗯，明白了，谢谢大家的回答！ 2009-11-26 23:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复