首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]竹君兄弟,你的那篇三步走里有个我不明白的问题,
发表于: 2011-2-27 22:31 4488

[求助]竹君兄弟,你的那篇三步走里有个我不明白的问题,

mumaren 活跃值
2011-2-27 22:31
4488
竹君兄弟,你的那篇《详谈内核三步走Inline Hook实现》有这样一句话,“这里请注意,我们是通过JMP方式跳转到我们处理函数入口地址的,而不是Call的形式,所以并没有执行上面所说的函数调用过程,参数仍然是原始函数的。”
我用调试器测试了一下:从A函数jmp到B函数,怎么B函数的参数也被压栈了?
这里不明白,希望竹君兄弟帮一下忙
谢谢

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (7)
竹君
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
2
具体详细点。
2011-3-2 16:24
0
mumaren
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
举个例子吧
比如说,当驱动加载后,先调用了你的那个hook函数,也就是void  HookObReferenceObjectByHandle()
这时候,ObReferenceObjectByHandle函数的前5个字节被修改了,当系统需要调用ObReferenceObjectByHandle函数的时候,实际上从ObReferenceObjectByHandle这个函数,跳到了
自己写的DetourMyObReferenceObjectByHandle这个函数上。

我想问的是:我怎么用WinDbg来跟踪到“跳到自己写的DetourMyObReferenceObjectByHandle这个函数”?
也就是我想调试一下自己的函数DetourMyObReferenceObjectByHandle
应该怎么调试?
2011-3-2 17:54
0
mszjk
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
虚拟机中断下
__asm int 3
__jmp DetourMyObReferenceObjectByHandle
2011-3-3 00:02
0
mumaren
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
虚拟机中断下?

什么意思?
2011-3-3 12:30
0
竹君
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
6
有符号表 下个断点就OK啊
2011-3-3 20:33
0
mumaren
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
3q

明白了
2011-3-5 00:55
0
竹君
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
8
好啦 继续努力。有努力就一定有进步
2011-3-7 08:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//