竹君兄弟，你这个还能堆栈平衡吗-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 2 楼的确没平衡。。。代码后面加pop 2010-10-12 20:46 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 3 楼当然平衡了。 _declspec (naked) mov edi,edi push ebp mov ebp,esp 这里的指令是原函数的开始5个字节的指令。 mov eax,ObReferenceObjectByHandle add eax,5 jmp eax 这里可能改为 push ObReferenceObjectByHandle ADD DWORD PTR SS:[ESP],5 retn 会好一点。 2010-10-12 21:08 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼这个是ObReferenceObjectByHandle被替换的字节　由ObReferenceObjectByHandle函数自己去平衡　你没看后面是jmp过去的 2010-10-12 21:11 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 5 楼 to三楼的朋友，你说平衡的主要原因是那个_declspec (naked)吗？ 2010-10-12 21:24 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 6 楼 4 楼的朋友，我不明白的是：ObReferenceObjectByHandle函数本身是平衡的，但在函数体里有个push ebp，这样，在函数调用结束时pop，是不是少了一个？但在人家竹君的程序，并没有蓝屏，说明是平衡的但是，我不知道平衡的原因 2010-10-12 21:29 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼自己调试,看堆栈,然后就知道结果了.一碰到问题就问人,那样学习效率很低的,尤其是自己能解决的问题. 2010-10-12 21:31 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 8 楼 ls的朋友，我的电脑用不了虚拟机我电脑cpu 赛扬857，内存256m 调试不了啊 2010-10-12 21:50 0
manbug 雪币： 220 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 188 粉丝 0 关注私信	manbug 9 楼具体要看 ObReferenceObjectByHandle 这个函数前几条指令是什么了如果前5个字节中有一条PUSH指令的话并且在ObReferenceObjectByHandle 这个函数体内堆栈本身是平衡的话，那么堆栈是平衡的！没有仔细分析，不知道对不对。 2010-10-12 22:27 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 10 楼 pop ebp在原始的ObReferenceObjectByHandle函数里。。。楼主该升级下电脑了，虚拟机用不了，学驱动的路真的会很杯具~ 而且，Inline Hook这东西，ring3和ring0根本没什么差别，楼主不如在ring3下练习好了，就算出错也最多是程序挂掉，不会蓝屏~~ 2010-10-12 23:43 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 11 楼 13: __declspec( naked ) void _stdcall PushDW( unsigned int nVal ) 14: { 00401050 ret 15: __asm 16: { 17: ret 18: } 19: } lkd> u ObReferenceObjectByHandle nt!ObReferenceObjectByHandle: 805bc482 8bff mov edi,edi 805bc484 55 push ebp 805bc485 8bec mov ebp,esp 805bc487 51 push ecx 看完上面两个应该知道为什么了吧大概是跳过ObReferenceObjectByHandle前5个字节hook，自己实现了前五个字节call ObReferenceObjectByHandle 2010-10-12 23:51 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 12 楼楼上，和楼上的楼上，谢谢啦我明白了，原来pop在后面。再次感谢以上各位 2010-10-12 23:54 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 13 楼同感，跟他说过了一次了。。。建议LZ先学习下原理，别一直抄代码。 2010-10-13 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 2 楼的确没平衡。。。代码后面加pop 2010-10-12 20:46 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 3 楼当然平衡了。 _declspec (naked) mov edi,edi push ebp mov ebp,esp 这里的指令是原函数的开始5个字节的指令。 mov eax,ObReferenceObjectByHandle add eax,5 jmp eax 这里可能改为 push ObReferenceObjectByHandle ADD DWORD PTR SS:[ESP],5 retn 会好一点。 2010-10-12 21:08 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼这个是ObReferenceObjectByHandle被替换的字节　由ObReferenceObjectByHandle函数自己去平衡　你没看后面是jmp过去的 2010-10-12 21:11 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 5 楼 to三楼的朋友，你说平衡的主要原因是那个_declspec (naked)吗？ 2010-10-12 21:24 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 6 楼 4 楼的朋友，我不明白的是：ObReferenceObjectByHandle函数本身是平衡的，但在函数体里有个push ebp，这样，在函数调用结束时pop，是不是少了一个？但在人家竹君的程序，并没有蓝屏，说明是平衡的但是，我不知道平衡的原因 2010-10-12 21:29 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼自己调试,看堆栈,然后就知道结果了.一碰到问题就问人,那样学习效率很低的,尤其是自己能解决的问题. 2010-10-12 21:31 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 8 楼 ls的朋友，我的电脑用不了虚拟机我电脑cpu 赛扬857，内存256m 调试不了啊 2010-10-12 21:50 0
manbug 雪币： 220 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 188 粉丝 0 关注私信	manbug 9 楼具体要看 ObReferenceObjectByHandle 这个函数前几条指令是什么了如果前5个字节中有一条PUSH指令的话并且在ObReferenceObjectByHandle 这个函数体内堆栈本身是平衡的话，那么堆栈是平衡的！没有仔细分析，不知道对不对。 2010-10-12 22:27 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 10 楼 pop ebp在原始的ObReferenceObjectByHandle函数里。。。楼主该升级下电脑了，虚拟机用不了，学驱动的路真的会很杯具~ 而且，Inline Hook这东西，ring3和ring0根本没什么差别，楼主不如在ring3下练习好了，就算出错也最多是程序挂掉，不会蓝屏~~ 2010-10-12 23:43 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 11 楼 13: __declspec( naked ) void _stdcall PushDW( unsigned int nVal ) 14: { 00401050 ret 15: __asm 16: { 17: ret 18: } 19: } lkd> u ObReferenceObjectByHandle nt!ObReferenceObjectByHandle: 805bc482 8bff mov edi,edi 805bc484 55 push ebp 805bc485 8bec mov ebp,esp 805bc487 51 push ecx 看完上面两个应该知道为什么了吧大概是跳过ObReferenceObjectByHandle前5个字节hook，自己实现了前五个字节call ObReferenceObjectByHandle 2010-10-12 23:51 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 12 楼楼上，和楼上的楼上，谢谢啦我明白了，原来pop在后面。再次感谢以上各位 2010-10-12 23:54 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 13 楼同感，跟他说过了一次了。。。建议LZ先学习下原理，别一直抄代码。 2010-10-13 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复