-
-
在函数中间进行inline hook
-
发表于:
2010-10-2 20:39
4884
-
lkd> u NtOpenProcess l 10
nt!NtOpenProcess:
805cc42a 68c4000000 push 0C4h
805cc42f 68c0b44d80 push offset nt!ObWatchHandles+0x25c (804db4c0)
805cc434 e88707f7ff call nt!_SEH_prolog (8053cbc0)
805cc439 33f6 xor esi,esi
805cc43b 8975d4 mov dword ptr [ebp-2Ch],esi
805cc43e 33c0 xor eax,eax
805cc440 8d7dd8 lea edi,[ebp-28h]
805cc443 ab stos dword ptr es:[edi]
805cc444 64a124010000 mov eax,dword ptr fs:[00000124h]
805cc44a 8a8040010000 mov al,byte ptr [eax+140h]
805cc450 8845cc mov byte ptr [ebp-34h],al
805cc453 84c0 test al,al
805cc455 e986628807 jmp 87e526e0
805cc45a 008975fca134 add byte ptr [ecx+34A1FC75h],cl
805cc460 315680 xor dword ptr [esi-80h],edx
805cc463 8b4d08 mov ecx,dword ptr [ebp+8]
如上代码,在这里被hook了:
805cc455 e986628807 jmp 87e526e0
请问这样的inline hook怎么实现?
谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
