IofCallDriver inline hook出错-编程技术-看雪-安全社区|安全招聘|kanxue.com

IofCallDriver inline hook出错

发表于: 2010-4-24 21:25 4559

IofCallDriver inline hook出错

racle

2010-4-24 21:25

4559

在Windows 2003下,IofCallDriver 结构为:

kd> u iofcalldriver
nt!IofCallDriver:
80828c5d 8bff          mov    edi,edi
80828c5f 55             push ebp
80828c60 8bec          mov    ebp,esp
80828c62 a1e0e78980    mov    eax,dword ptr [nt!pIofCallDriver (8089e7e0)]
80828c67 85c0          test eax,eax
80828c69 0f85d4a90200 jne    nt!IofCallDriver+0xe (80853643)
80828c6f fe4a23       dec    byte ptr [edx+23h]
80828c72 807a2300       cmp    byte ptr [edx+23h],0

别忘记pushad
pushfd来保存状态.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费

支持

最新回复 (3)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼一般是堆栈被破坏了……Mycheck回来之后堆栈就坏了……，IofcallDriver么直接改那个内存地址就好了嘛，这样就不必考虑堆栈问题了，用inline麻烦…… 2010-4-25 16:59 0
racle 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	racle 3 楼 OK,搞定.果然是不平衡. 2010-4-25 18:39 0
racle 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	racle 4 楼终于搞平衡了. 2010-4-25 19:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

racle

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼一般是堆栈被破坏了……Mycheck回来之后堆栈就坏了……，IofcallDriver么直接改那个内存地址就好了嘛，这样就不必考虑堆栈问题了，用inline麻烦…… 2010-4-25 16:59 0
racle 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	racle 3 楼 OK,搞定.果然是不平衡. 2010-4-25 18:39 0
racle 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	racle 4 楼终于搞平衡了. 2010-4-25 19:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

IofCallDriver inline hook出错

账号登录 验证码登录

账号登录

验证码登录