在函数中获得本函数的地址-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 2 楼呵呵，你都知道用call指令调用的话通过获取返回值就知道调用地址了，那这个问题就不难了呀！你HOOK函数的时候干嘛非得用JMP呢？不能用CALL么？你用CALL MyFun，这样在MyFun的返回值就是CALL指令后的地址，减去CALL指令长度5，就是被HOOK的函数地址了。 2010-12-28 21:46 0
akinwzh 雪币： 167 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	akinwzh 3 楼但是如果是以FF开头的CALL来调用0x545000 则情况非常复杂，可能是 call eax这种也可能是call dwrod ptr[] 还可能是call [esp+0x04]等等 CALL指令有好几种形式的有E8开头的是五个字节的这个我可以搞定还有以FF开关的call eax两个字节的 call dwrod ptr[] 是六个字节的 call [esp+0x04]是三个字节的问题就是在这里 2010-12-28 21:52 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 4 楼 [QUOTE=akinwzh;908771]但是如果是以FF开头的CALL来调用0x545000 则情况非常复杂，可能是 call eax这种也可能是call dwrod ptr[] 还可能是call [esp+0x04]等等 CALL指令有好几种形式的有E8开头的是五个字节的这个我可以搞定还有以FF开关的call ea...[/QUOTE] 你是要获取被HOOK的函数的地址吧？我假设是啊，呵呵这个跟调用方式没关系啊，你把被HOOK的函数头改为CALL MyFun这样CALL的下一个地址被压入堆栈，而CALL的下一个地址刚好是被HOOK的函数的地址+5（因为CALL指令为5个字节），你在MyFun获取的返回地址位于被HOOK函数里，这样可以计算HOOK函数的地址，跟调用方式没关系。 2010-12-28 21:56 0
akinwzh 雪币： 167 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	akinwzh 5 楼哦明白你的意思了言之有理啊我马上试验先谢过了回头给你分 2010-12-28 22:09 0
akinwzh 雪币： 167 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	akinwzh 6 楼搞定，收工，谢谢ITSailor大侠相助. 2010-12-28 23:26 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 7 楼学习了 2010-12-30 17:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 2 楼呵呵，你都知道用call指令调用的话通过获取返回值就知道调用地址了，那这个问题就不难了呀！你HOOK函数的时候干嘛非得用JMP呢？不能用CALL么？你用CALL MyFun，这样在MyFun的返回值就是CALL指令后的地址，减去CALL指令长度5，就是被HOOK的函数地址了。 2010-12-28 21:46 0
akinwzh 雪币： 167 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	akinwzh 3 楼但是如果是以FF开头的CALL来调用0x545000 则情况非常复杂，可能是 call eax这种也可能是call dwrod ptr[] 还可能是call [esp+0x04]等等 CALL指令有好几种形式的有E8开头的是五个字节的这个我可以搞定还有以FF开关的call eax两个字节的 call dwrod ptr[] 是六个字节的 call [esp+0x04]是三个字节的问题就是在这里 2010-12-28 21:52 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 4 楼 [QUOTE=akinwzh;908771]但是如果是以FF开头的CALL来调用0x545000 则情况非常复杂，可能是 call eax这种也可能是call dwrod ptr[] 还可能是call [esp+0x04]等等 CALL指令有好几种形式的有E8开头的是五个字节的这个我可以搞定还有以FF开关的call ea...[/QUOTE] 你是要获取被HOOK的函数的地址吧？我假设是啊，呵呵这个跟调用方式没关系啊，你把被HOOK的函数头改为CALL MyFun这样CALL的下一个地址被压入堆栈，而CALL的下一个地址刚好是被HOOK的函数的地址+5（因为CALL指令为5个字节），你在MyFun获取的返回地址位于被HOOK函数里，这样可以计算HOOK函数的地址，跟调用方式没关系。 2010-12-28 21:56 0
akinwzh 雪币： 167 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	akinwzh 5 楼哦明白你的意思了言之有理啊我马上试验先谢过了回头给你分 2010-12-28 22:09 0
akinwzh 雪币： 167 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	akinwzh 6 楼搞定，收工，谢谢ITSailor大侠相助. 2010-12-28 23:26 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 7 楼学习了 2010-12-30 17:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复