能力值:
( LV12,RANK:210 )
|
-
-
2 楼
具体详细点。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
举个例子吧
比如说,当驱动加载后,先调用了你的那个hook函数,也就是void HookObReferenceObjectByHandle()
这时候,ObReferenceObjectByHandle函数的前5个字节被修改了,当系统需要调用ObReferenceObjectByHandle函数的时候,实际上从ObReferenceObjectByHandle这个函数,跳到了
自己写的DetourMyObReferenceObjectByHandle这个函数上。
我想问的是:我怎么用WinDbg来跟踪到“跳到自己写的DetourMyObReferenceObjectByHandle这个函数”?
也就是我想调试一下自己的函数DetourMyObReferenceObjectByHandle
应该怎么调试?
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
虚拟机中断下
__asm int 3
__jmp DetourMyObReferenceObjectByHandle
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
虚拟机中断下?
什么意思?
|
能力值:
( LV12,RANK:210 )
|
-
-
6 楼
有符号表 下个断点就OK啊
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
3q
明白了
|
能力值:
( LV12,RANK:210 )
|
-
-
8 楼
好啦 继续努力。有努力就一定有进步
|
|
|
|
