-
-
[求助]问一个小小的问题
-
发表于: 2010-11-19 14:36
-
void HookpIofCallDriver()
{
KIRQL oldIrql;
ULONG addr = (ULONG)IofCallDriver;
__asm
{
mov eax,addr
mov esi,[eax+2]
mov eax,[esi]
mov old_piofcalldriver,eax
}
kd> u IofCallDriver
nt!IofCallDriver:
804ef120 ff2500d25480 jmp dword ptr [nt!pIofCallDriver (8054d200)]
在这段代码里addr存放的是IofCallDriver的地址, 把地址赋给eax,eax+2指向ff25后面这个地址,那[eax+2]就应该是这个地址里的内容00d25480吧,把它赋给esi,那后面为啥又写
mov eax,[esi]啊,那岂不是把00d25480所指的内容赋给eax啊?
想我大半天想不明白,高手指点指点小弟啊。
{
KIRQL oldIrql;
ULONG addr = (ULONG)IofCallDriver;
__asm
{
mov eax,addr
mov esi,[eax+2]
mov eax,[esi]
mov old_piofcalldriver,eax
}
kd> u IofCallDriver
nt!IofCallDriver:
804ef120 ff2500d25480 jmp dword ptr [nt!pIofCallDriver (8054d200)]
在这段代码里addr存放的是IofCallDriver的地址, 把地址赋给eax,eax+2指向ff25后面这个地址,那[eax+2]就应该是这个地址里的内容00d25480吧,把它赋给esi,那后面为啥又写
mov eax,[esi]啊,那岂不是把00d25480所指的内容赋给eax啊?
想我大半天想不明白,高手指点指点小弟啊。 [培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
哪位大哥给小弟讲讲啊 急切的想弄明白
|
|
|
|
|
|
 明白了 原来mov eax addr 是把addr的地址传给eax 而不是把IofCallDriver的地址传给eax
|
