-
-
[旧帖]
请教一下call 地址得到的这个算法
0.00雪花
-
发表于:
2011-7-12 16:31
2109
-
[旧帖] 请教一下call 地址得到的这个算法
0.00雪花
看了crazyearl过TP的贴子后,表示很好奇,所以我想跟着他的源码自己来试试。
804f87d8 8bff mov edi,edi
804f87da 55 push ebp
804f87db 8bec mov ebp,esp
804f87dd 53 push ebx
804f87de 8b5d0c mov ebx,dword ptr [ebp+0Ch]
804f87e1 66ff4360 inc word ptr [ebx+60h]
804f87e5 56 push esi
804f87e6 8b7508 mov esi,dword ptr [ebp+8]
804f87e9 57 push edi
804f87ea ff7514 push dword ptr [ebp+14h]
804f87ed 8d7e34 lea edi,[esi+34h]
804f87f0 57 push edi
804f87d8 b8c064eaee mov eax,0EEEA64C0h
804f87dd ffe0 jmp eax
804f87df 5d pop ebp
804f87e0 0c66 or al,66h
804f87e2 ff4360 inc dword ptr [ebx+60h]
804f87e5 56 push esi
804f87e6 8b7508 mov esi,dword ptr [ebp+8]
804f87e9 57 push edi
804f87ea ff7514 push dword ptr [ebp+14h]
804f87ed 8d7e34 lea edi,[esi+34h]
好像KiAttachProcess被HOOK后和crazyearl老大发的被HOOK后的图片的代码有变化,其实这不是关键,不过还是希望能解释给我这位新人听听。
总主要是这个问题:
804f891b e8b8feffff call nt!KiAttachProcess (804f87d8)
KiAttachProcessAddress =(BYTE*) *(PULONG)(p+1)+(ULONG)(p+5);
老大用这个算法就把call的地址给得出来了,我原来自己写HOOK的时候可从没用过,可能底子太薄了吧,想了很久没想通。。
于是自己:
804f8906 ff1514874d80 call dword ptr [nt!_imp__KeRaiseIrqlToDpcLevel (804d8714)]
把这个call的特征码找到,用一样的方法测试不行,而且这个call用了6个字节。
这里比较模糊,希望高手们指教。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
