过DXF的NtOpenProcess源码修改-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
stolenmu 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 93 粉丝 0 关注私信	stolenmu 2 楼看了200多人竟然没人解答 2011-1-16 08:02 0
crazyearl 雪币： 439 活跃值： (1279) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 80 关注私信	crazyearl 2 3 楼 NTSTATUS NtMyOpenProcess( ) 注意这个函数的调用约定应该使用__declspec(naked) 这样它生成的函数没有函数框架，不操作堆栈如果要使用NTSTATUS 就和普通函数一样了在函数头部会有一些push操作，那么在返回之前要有相应次数的pop操作以保证堆栈平衡而且会改变相应寄存器的值。也要设法保存以及恢复 2011-1-16 11:04 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 4 楼调用你的NtMyOpenProcess时要保存环境，比如这样写：这句改成 (ULONG )(JmpAddress+1)=(ULONG)xxxNtMyOpenProcess-((ULONG)p_WriteAddress+5); xxxNtMyOpenProcess函数可以这样写： (NtMyOpenProcess声明为__stdcall) void _declspec(naked) xxxNtMyOpenProcess() { _asm { pushad pushfd call NtMyOpenProcess popfd popad ret } } 2011-1-16 11:20 0
stolenmu 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 93 粉丝 0 关注私信	stolenmu 5 楼这后面加个ret是不是错了你让他返回不就栈不平衡了 2011-1-17 02:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
stolenmu 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 93 粉丝 0 关注私信	stolenmu 2 楼看了200多人竟然没人解答 2011-1-16 08:02 0
crazyearl 雪币： 439 活跃值： (1279) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 80 关注私信	crazyearl 2 3 楼 NTSTATUS NtMyOpenProcess( ) 注意这个函数的调用约定应该使用__declspec(naked) 这样它生成的函数没有函数框架，不操作堆栈如果要使用NTSTATUS 就和普通函数一样了在函数头部会有一些push操作，那么在返回之前要有相应次数的pop操作以保证堆栈平衡而且会改变相应寄存器的值。也要设法保存以及恢复 2011-1-16 11:04 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 4 楼调用你的NtMyOpenProcess时要保存环境，比如这样写：这句改成 (ULONG )(JmpAddress+1)=(ULONG)xxxNtMyOpenProcess-((ULONG)p_WriteAddress+5); xxxNtMyOpenProcess函数可以这样写： (NtMyOpenProcess声明为__stdcall) void _declspec(naked) xxxNtMyOpenProcess() { _asm { pushad pushfd call NtMyOpenProcess popfd popad ret } } 2011-1-16 11:20 0
stolenmu 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 93 粉丝 0 关注私信	stolenmu 5 楼这后面加个ret是不是错了你让他返回不就栈不平衡了 2011-1-17 02:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复