首页
社区
课程
招聘
在函数中间进行inline hook
发表于: 2010-10-2 20:39 4884

在函数中间进行inline hook

2010-10-2 20:39
4884
lkd> u NtOpenProcess l 10
nt!NtOpenProcess:
805cc42a 68c4000000      push    0C4h
805cc42f 68c0b44d80      push    offset nt!ObWatchHandles+0x25c (804db4c0)
805cc434 e88707f7ff      call    nt!_SEH_prolog (8053cbc0)
805cc439 33f6            xor     esi,esi
805cc43b 8975d4          mov     dword ptr [ebp-2Ch],esi
805cc43e 33c0            xor     eax,eax
805cc440 8d7dd8          lea     edi,[ebp-28h]
805cc443 ab              stos    dword ptr es:[edi]
805cc444 64a124010000    mov     eax,dword ptr fs:[00000124h]
805cc44a 8a8040010000    mov     al,byte ptr [eax+140h]
805cc450 8845cc          mov     byte ptr [ebp-34h],al
805cc453 84c0            test    al,al
805cc455 e986628807      jmp     87e526e0
805cc45a 008975fca134    add     byte ptr [ecx+34A1FC75h],cl
805cc460 315680          xor     dword ptr [esi-80h],edx

805cc463 8b4d08          mov     ecx,dword ptr [ebp+8]

如上代码,在这里被hook了:
805cc455 e986628807      jmp     87e526e0
请问这样的inline hook怎么实现?
谢谢!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 253
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
自己顶!~~~希望大大们帮忙
2010-10-2 21:19
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
DebugMan上回复过了。。。。
2010-10-3 00:10
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
4
这种方式也可以被扫出来的  - -
2010-10-7 23:37
0
雪    币: 76
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
你需要一个反汇编引擎
2010-10-8 16:17
0
雪    币: 253
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
请您详细一点说嘛
2010-10-8 22:43
0
游客
登录 | 注册 方可回帖
返回
//