[求助]UnHOOK时碰到的全局变量重定位的问题.-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]UnHOOK时碰到的全局变量重定位的问题.

发表于: 2010-4-21 10:28 3978

[求助]UnHOOK时碰到的全局变量重定位的问题.

imdemon

2010-4-21 10:28

3978

大家好..
我在试图实现一个RING3的UnHook程序
碰到这样一个具体的问题...

在程序A中对方Inline Hook了NTDLL里的某个函数,我用HookShark恢复后是这样的
push 8
push 7CE80040 ****
CALL 7C92E8CB

由于NTDLL总是被加载至建议模块装载地址(XP)...所以实际上我都不需要处理重定位问题..
但在我的程序B的NTDLL里
这个函数该处的指令时
PUSH 8
PUSH 7C971E60 ****
CALL 7C92E8CB

看起来是7C971E60这个全局变量被重定位了?

可是怎么会呢?既然大家的NTDLL都被加载到7C920000，那怎么会全局变量被定位到不同的地址?

是我有什么理解不到位么?

HOOKSHARK是基于什么将第二条指令恢复成push 7CE80040而不是PUSH 7C971E60的?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・0

免费・0

支持

最新回复 (1)
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 2 楼进展...看起来应该是HOOKSHARK的工作没做到位... HOOKSHARK做UNHOOK的时候..若指令为push addr,则只恢复push 不恢复addr,导致有2个原来HOOK遗留下的字节.. 2010-4-21 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

imdemon

发帖

192

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 2 楼进展...看起来应该是HOOKSHARK的工作没做到位... HOOKSHARK做UNHOOK的时候..若指令为push addr,则只恢复push 不恢复addr,导致有2个原来HOOK遗留下的字节.. 2010-4-21 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复