首页
社区
课程
招聘
[求助]关于恢复NtOpenProcess的问题
发表于: 2011-2-15 16:14 5869

[求助]关于恢复NtOpenProcess的问题

2011-2-15 16:14
5869
首先,我在看雪没账号,是通过朋友的账号看些资料的,本人菜鸟,想问大牛几个问题

  某某游戏保护驱动的NtOpenProcess按照crazyearl大牛的代码

貌似现在也过不了,一直自动重启,有的蓝屏,可能是所用载入驱动的工具不同吧
还有一处不解,那就是恢复OpenProcess的自写的中继函数里面
__asm
    {
      push    dword ptr [ebp-38h]
      push    dword ptr [ebp-24h]
      push  p_ReturnAddress
      mov    eax,p_TpHookAddress
      jmp    eax
    }

以上的push  p_ReturnAddress,为什么要压给他一个返回地址,根据没恢复前,应该是:
      push    eax
      push    dword ptr [ebp-38h]
      push    dword ptr [ebp-24h]

麻烦大牛们详细讲解了。。。。本菜基础薄。。。。。来不耻下问了~~~~~

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 208
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
push    dword ptr [ebp-38h]
      push    dword ptr [ebp-24h]
      push  p_ReturnAddress
      mov    eax,p_TpHookAddress
      jmp    eax

肯定要压个返回地址啊~
你是JMP进函数的,函数最后是RETN返回的,你不给他返回的地址,让他返回哪去呢?
2011-2-15 17:29
0
雪    币: 193
活跃值: (64)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
好几个月了,NP是一直没有更新!!!!
2011-2-15 18:59
0
雪    币: 603
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
4

那为何我恢复NTOPENPROCESS会蓝屏。。。。。
2011-2-15 20:02
0
游客
登录 | 注册 方可回帖
返回
//