[求助]在线求助！-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]在线求助！

发表于: 2011-12-3 01:35 3690

[求助]在线求助！

mistyes

2011-12-3 01:35

3690

地址二进制汇编
805CC642 E8 CFF1F731 call B254B816
805CC647 EB DE jmp 805CC627
805CC649 8D45 E0 lea eax, [ebp-20]
805CC64C 50 push eax

这个是NtOpenProcess的内部，805cc642处本来调用的是PslookupProcessByProcessId函数，但是被hook到了B254B816这个函数去了，用KD改回去后电脑自动重启，只有在B254B816内部跳转到PslookupProcessByProcessId才行。
问题：怎么获得它调用的函数的首地址，也就是B254B816这个地址？不知道函数名，用工具能看到地址，重启后地址每次都在变化。
或者怎么得到805cc642这连续5个地址的机器码，也就是E8 CFF1F731

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (3)
yayayxkf 雪币： 256 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 2 楼 805cc642是NtOpenProcess的内部,那NtOpenProcess的首地址应该能得到吧,看看跟首地址差多少 2011-12-4 16:41 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼自己玩的话就内存搜索吧 2011-12-4 23:12 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼对于没有基础却想一步登天搞驱动的人来说，大家就别计较了: ulHookAddress = *(PULONG)(ulFunctionAddress+1)+(ULONG)(ulFunctionAddress+5); 2011-12-5 12:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mistyes

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
yayayxkf 雪币： 256 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 2 楼 805cc642是NtOpenProcess的内部,那NtOpenProcess的首地址应该能得到吧,看看跟首地址差多少 2011-12-4 16:41 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼自己玩的话就内存搜索吧 2011-12-4 23:12 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼对于没有基础却想一步登天搞驱动的人来说，大家就别计较了: ulHookAddress = *(PULONG)(ulFunctionAddress+1)+(ULONG)(ulFunctionAddress+5); 2011-12-5 12:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复