驱动中内联汇编-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 2 楼给点提示........给点提示...... 2009-12-4 21:32 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 3 楼直接用寄存器跳转不就是了，这么麻烦~ 2009-12-5 12:04 0
suchri 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	suchri 4 楼分页,看长跳还是短跳,你自己拿个PE来反汇编下,占的字节都不同,短跳占2个,长的站满5个,我不知道是为什么,但是就是这样做的 2009-12-5 13:43 0
aben笨雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	aben笨 5 楼 lea eax,ntopenprocess add eax,19 jl eax 2009-12-5 19:19 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 6 楼如果我没理解错, NtOpenProcess并不你驱动中实现的函数,而导入的系统函数, 此时NtOpenProcess是一个指针,而不是一个地址标签(label), jl 后面只能接地址标签。你的问题可以如下解决： __asm { ...... jl onl ...... onl: mov eax,NtOpenProcess add eax,0x19 jmp eax } 这个方法有一个前提：eax对于NtOpenProcess+0x19处的代码来说是无用的，否则，你需要另选一个寄存器，如果找不到合适的，则需要使用全局变量，倒更简单一些： 2009-12-5 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 2 楼给点提示........给点提示...... 2009-12-4 21:32 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 3 楼直接用寄存器跳转不就是了，这么麻烦~ 2009-12-5 12:04 0
suchri 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	suchri 4 楼分页,看长跳还是短跳,你自己拿个PE来反汇编下,占的字节都不同,短跳占2个,长的站满5个,我不知道是为什么,但是就是这样做的 2009-12-5 13:43 0
aben笨雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	aben笨 5 楼 lea eax,ntopenprocess add eax,19 jl eax 2009-12-5 19:19 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 6 楼如果我没理解错, NtOpenProcess并不你驱动中实现的函数,而导入的系统函数, 此时NtOpenProcess是一个指针,而不是一个地址标签(label), jl 后面只能接地址标签。你的问题可以如下解决： __asm { ...... jl onl ...... onl: mov eax,NtOpenProcess add eax,0x19 jmp eax } 这个方法有一个前提：eax对于NtOpenProcess+0x19处的代码来说是无用的，否则，你需要另选一个寄存器，如果找不到合适的，则需要使用全局变量，倒更简单一些： 2009-12-5 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复