-
-
[旧帖] [求助]内核编程时 memcpy失败。。 0.00雪花
-
发表于: 2010-5-11 17:03
-
现在正写一个inline unhook NtOpenProcess的程序练练手
需要将原函数被修改前五个字节改写成原来的指令(push 0xC4)
定位到了NtOpenProcess的首地址后,就开始用memcpy进行拷贝:
(BYTE)orig_code[5] ={0x68,0xc4,0x00,0x00,0x00};
ULONG Address = (ULONG)NtOpenProcess;
//去除内存写保护
memcpy(orig_code,(BYTE*)Address,5)
//恢复内存写保护
...
用windbg调试的时候发现memcpy执行后,Address里面的内容并没有改变。。
望高手能帮助下~
需要将原函数被修改前五个字节改写成原来的指令(push 0xC4)
定位到了NtOpenProcess的首地址后,就开始用memcpy进行拷贝:
(BYTE)orig_code[5] ={0x68,0xc4,0x00,0x00,0x00};
ULONG Address = (ULONG)NtOpenProcess;
//去除内存写保护
memcpy(orig_code,(BYTE*)Address,5)
//恢复内存写保护
...
用windbg调试的时候发现memcpy执行后,Address里面的内容并没有改变。。
望高手能帮助下~
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
似乎push 0xc4是固定的 xp sp2,xp sp3都是
