[求助]关于inline hook 的平栈问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
BeanBaby 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 40 粉丝 0 关注私信	BeanBaby 2 楼在你自己的处理里面保持堆栈平衡就可以了我做的inline hook就是直接在原函数指令中弄的jmp然后跳转到我自己的函数，等我的指令执行完了后我就跳回去。。。 2011-7-12 13:04 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼 fake_xx不需要naked修饰 2011-7-12 13:08 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 4 楼大侠，帮帮我 2011-7-12 18:38 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 5 楼你hook 的时候，Proxy_KeStackAttachProcess已经处理了头5字节的代码了啊。 2011-7-12 20:01 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 6 楼是的， Proxy_KeStackAttachProcess的头五个字节是KeStackAttachProcess的原始的五个字节；后五个字节是跳转到KeStackAttachProcess的第六个字节处的实现，都已经实现了，最后两个字节是08 00 2011-7-12 22:57 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 7 楼最后两个字节是0x0080 2011-7-12 22:58 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 8 楼我发现，在这里： __declspec (naked) VOID fake_KeStackAttachProcess ( PKPROCESS pKProcess, PVOID APCState ) { //做了我自己的处理 ...... Proxy_KeStackAttachProcess(pKProcess,APCState); } 加入了自己的处理后也能跑，但是会引起访问违规！ 2011-7-12 22:58 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 9 楼解决了，谢谢各位大侠！ 2011-7-20 10:08 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 10 楼不过，win7下，还是有问题，哪位大侠指点一下？ 2011-7-20 10:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
BeanBaby 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 40 粉丝 0 关注私信	BeanBaby 2 楼在你自己的处理里面保持堆栈平衡就可以了我做的inline hook就是直接在原函数指令中弄的jmp然后跳转到我自己的函数，等我的指令执行完了后我就跳回去。。。 2011-7-12 13:04 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼 fake_xx不需要naked修饰 2011-7-12 13:08 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 4 楼大侠，帮帮我 2011-7-12 18:38 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 5 楼你hook 的时候，Proxy_KeStackAttachProcess已经处理了头5字节的代码了啊。 2011-7-12 20:01 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 6 楼是的， Proxy_KeStackAttachProcess的头五个字节是KeStackAttachProcess的原始的五个字节；后五个字节是跳转到KeStackAttachProcess的第六个字节处的实现，都已经实现了，最后两个字节是08 00 2011-7-12 22:57 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 7 楼最后两个字节是0x0080 2011-7-12 22:58 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 8 楼我发现，在这里： __declspec (naked) VOID fake_KeStackAttachProcess ( PKPROCESS pKProcess, PVOID APCState ) { //做了我自己的处理 ...... Proxy_KeStackAttachProcess(pKProcess,APCState); } 加入了自己的处理后也能跑，但是会引起访问违规！ 2011-7-12 22:58 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 9 楼解决了，谢谢各位大侠！ 2011-7-20 10:08 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 10 楼不过，win7下，还是有问题，哪位大侠指点一下？ 2011-7-20 10:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复