[求助]关于inline hook的问题!-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼直接把call替换掉不就行了嘛，非要jmp 2010-1-6 08:07 0
westboy 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 52 粉丝 0 关注私信	westboy 3 楼我是将原来的 e8d86e0000 Call nt!IopXxxControlFile 替换为jmp DetourFun 但是在DetourFun函数内要先实现Call nt!IopXxxControlFile，就是卡在这里了。谢谢achillis的答复。抱歉刚没看明白您答复。您的意思是替换原来CALL的操作数为DetourFun的地址是吗？那在DetourFun函数还是要实现CALL nt!IopXxxControlFile啊。 2010-1-6 14:51 0
小鬼当家雪币： 292 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	小鬼当家 4 楼应该是要保存进入钩子函数前的上下文环境吧。 2010-1-13 18:47 0
SFILTER 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	SFILTER 5 楼 Jmp 相对地址 call 绝对地址 2010-1-15 09:25 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 6 楼 2楼正解 JMP 和CALL 都是相对地址 2010-1-15 11:49 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 7 楼 .......难道r0的inline hook有新方法??和r3不同? 2010-1-15 12:27 0
Nameless 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	Nameless 8 楼 XXXX 怎么可能是绝对地址，E9明明是相对跳转。 FF15YYYYYYYY也不是跳向YYYYYYYY，而是跳向地址所存放的数据所指向的地址，你调试时的数据是长啥样的？ push YYYYYYYY ret 或 mov reg32,YYYYYYYY jmp reg32 才是跳向YYYYYYYY 2010-1-16 11:54 0
westboy 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 52 粉丝 0 关注私信	westboy 9 楼谢谢nameless和各位的答复，这几天学校放假，所以很久没上来了。 XXXX确实是DetourFun()的相对地址，已经可以顺利跳转到detourFun函数里。现在遇到的问题是在detourFun函数里要先执行原来被替换的CALL ZZZZ，再跳转到原被替换函数的下一条指令地址，所以好像没法用jmp。您所说的FF15YYYY是指令指针，我还没试验，手头代码不在，回头试试再说。再次谢谢各位的细心答复！ 2010-1-18 10:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼直接把call替换掉不就行了嘛，非要jmp 2010-1-6 08:07 0
westboy 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 52 粉丝 0 关注私信	westboy 3 楼我是将原来的 e8d86e0000 Call nt!IopXxxControlFile 替换为jmp DetourFun 但是在DetourFun函数内要先实现Call nt!IopXxxControlFile，就是卡在这里了。谢谢achillis的答复。抱歉刚没看明白您答复。您的意思是替换原来CALL的操作数为DetourFun的地址是吗？那在DetourFun函数还是要实现CALL nt!IopXxxControlFile啊。 2010-1-6 14:51 0
小鬼当家雪币： 292 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	小鬼当家 4 楼应该是要保存进入钩子函数前的上下文环境吧。 2010-1-13 18:47 0
SFILTER 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	SFILTER 5 楼 Jmp 相对地址 call 绝对地址 2010-1-15 09:25 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 6 楼 2楼正解 JMP 和CALL 都是相对地址 2010-1-15 11:49 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 7 楼 .......难道r0的inline hook有新方法??和r3不同? 2010-1-15 12:27 0
Nameless 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	Nameless 8 楼 XXXX 怎么可能是绝对地址，E9明明是相对跳转。 FF15YYYYYYYY也不是跳向YYYYYYYY，而是跳向地址所存放的数据所指向的地址，你调试时的数据是长啥样的？ push YYYYYYYY ret 或 mov reg32,YYYYYYYY jmp reg32 才是跳向YYYYYYYY 2010-1-16 11:54 0
westboy 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 52 粉丝 0 关注私信	westboy 9 楼谢谢nameless和各位的答复，这几天学校放假，所以很久没上来了。 XXXX确实是DetourFun()的相对地址，已经可以顺利跳转到detourFun函数里。现在遇到的问题是在detourFun函数里要先执行原来被替换的CALL ZZZZ，再跳转到原被替换函数的下一条指令地址，所以好像没法用jmp。您所说的FF15YYYY是指令指针，我还没试验，手头代码不在，回头试试再说。再次谢谢各位的细心答复！ 2010-1-18 10:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复