[求助]问一个小小的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]问一个小小的问题

发表于: 2010-11-19 14:36 3354

[求助]问一个小小的问题

鱼爱上猫

2010-11-19 14:36

3354

void HookpIofCallDriver()
{
KIRQL oldIrql;
ULONG addr = (ULONG)IofCallDriver;
__asm
{
   mov eax,addr
   mov esi,[eax+2]
   mov eax,[esi]
   mov old_piofcalldriver,eax
}

kd> u IofCallDriver
nt!IofCallDriver:
804ef120 ff2500d25480 jmp    dword ptr [nt!pIofCallDriver (8054d200)]

在这段代码里addr存放的是IofCallDriver的地址，把地址赋给eax，eax+2指向ff25后面这个地址，那[eax+2]就应该是这个地址里的内容00d25480吧，把它赋给esi，那后面为啥又写
mov eax,[esi]啊，那岂不是把00d25480所指的内容赋给eax啊？

想我大半天想不明白，高手指点指点小弟啊。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (3)
鱼爱上猫雪币： 72 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 111 粉丝 0 关注私信	鱼爱上猫 2 楼哪位大哥给小弟讲讲啊急切的想弄明白 2010-11-19 18:14 0
chinazgj 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 93 粉丝 0 关注私信	chinazgj 3 楼就这样的啊12345 2010-11-19 22:42 0
鱼爱上猫雪币： 72 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 111 粉丝 0 关注私信	鱼爱上猫 4 楼明白了原来mov eax addr 是把addr的地址传给eax 而不是把IofCallDriver的地址传给eax 2010-11-19 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

鱼爱上猫

发帖

111

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
鱼爱上猫雪币： 72 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 111 粉丝 0 关注私信	鱼爱上猫 2 楼哪位大哥给小弟讲讲啊急切的想弄明白 2010-11-19 18:14 0
chinazgj 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 93 粉丝 0 关注私信	chinazgj 3 楼就这样的啊12345 2010-11-19 22:42 0
鱼爱上猫雪币： 72 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 111 粉丝 0 关注私信	鱼爱上猫 4 楼明白了原来mov eax addr 是把addr的地址传给eax 而不是把IofCallDriver的地址传给eax 2010-11-19 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复