[求助]会ASM 进来一下-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 2 楼首先，funcaddress的类型未指定，不过看你的代码似乎是存放着函数地址的变量的指针。其次，一般来说，代码段的内存属性是读取和执行，没有可写这条，所以你需要先改变下那一段的内存属性才能进行Inline补丁。改完之后推荐把内存属性改回去。再次，这段代码可以用C来实现。没有asm的必要性 NTSTATUS InlinePatch_HoxFix(PBYTE oldFuncAddr,LPVOID newFuncAddr) { if (oldFuncAddr==0x8b && (oldFuncAddr+1)==0xff && ((DWORD)(oldFuncAddr-5)==0xCCCCCCCC \|\| (DWORD)(oldFuncAddr-5)==0x90909090) && ((oldFuncAddr-1)==0xCC \|\| (oldFuncAddr-1)==0x90)) { DWORD oldProtect; if(VirtualProtect((LPVOID)(oldFuncAddr-5),7,PAGE_EXECUTE_READWRITE,&oldProtect)) { oldFuncAddr=0xeb; (oldFuncAddr+1)=0xf9; (oldFuncAddr-5)=0xe9; (DWORD*)(oldFuncAddr-4)=(DWORD)((PBYTE)(newFuncAddr)-(oldFuncAddr-5)-5); VirtualProtect((LPVOID)(oldFuncAddr-5),7,oldProtect,&oldProtect); return STATUS_SUCCESS; } } return STATUS_UNSUCCESSFUL; } 测试了一下,没问题。 2012-5-10 15:35 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 3 楼 (⊙o⊙)… 我要汇编的。。方式。。。。。。。。。 2012-5-11 11:13 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 4 楼 void InlinePatch_HoxFix(LPVOID oldFuncAddr,LPVOID newFuncAddr) { __ASM { push esi mov esi,oldFuncAddr cmp word ptr [esi],0xff8b jnz @Fail cmp byte ptr [esi-1],0x90 je @Next1 cmp byte ptr [esi-1],0xcc jnz @Fail @Next1: cmp dword ptr [esi-5],0x90909090 je @Next2 cmp dword ptr [esi-5],0xcccccccc jnz @Fail @Next2: sub esi,5 push 0 push esp push 40 push 7 push esi call VirtualProtect test eax,eax je @Fail1 mov esi,oldFuncAddr //以防esi被改写，重新赋值 mov byte ptr [esi-5],0xe9 mov eax,newFuncAddr sub eax,esi mov dword ptr [esi-4],eax mov word ptr [esi],0xfaeb mov eax,[esp] push esp push eax push 7 sub esi,5 push esi call VirtualProtect pop eax mov eax,0 retn 8 @Fail1: pop eax @Fail: mov eax,0xc0000001 retn 8 } } 2012-5-11 12:08 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 5 楼 O(∩_∩)O谢谢 ko了 2012-5-11 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 2 楼首先，funcaddress的类型未指定，不过看你的代码似乎是存放着函数地址的变量的指针。其次，一般来说，代码段的内存属性是读取和执行，没有可写这条，所以你需要先改变下那一段的内存属性才能进行Inline补丁。改完之后推荐把内存属性改回去。再次，这段代码可以用C来实现。没有asm的必要性 NTSTATUS InlinePatch_HoxFix(PBYTE oldFuncAddr,LPVOID newFuncAddr) { if (oldFuncAddr==0x8b && (oldFuncAddr+1)==0xff && ((DWORD)(oldFuncAddr-5)==0xCCCCCCCC \|\| (DWORD)(oldFuncAddr-5)==0x90909090) && ((oldFuncAddr-1)==0xCC \|\| (oldFuncAddr-1)==0x90)) { DWORD oldProtect; if(VirtualProtect((LPVOID)(oldFuncAddr-5),7,PAGE_EXECUTE_READWRITE,&oldProtect)) { oldFuncAddr=0xeb; (oldFuncAddr+1)=0xf9; (oldFuncAddr-5)=0xe9; (DWORD*)(oldFuncAddr-4)=(DWORD)((PBYTE)(newFuncAddr)-(oldFuncAddr-5)-5); VirtualProtect((LPVOID)(oldFuncAddr-5),7,oldProtect,&oldProtect); return STATUS_SUCCESS; } } return STATUS_UNSUCCESSFUL; } 测试了一下,没问题。 2012-5-10 15:35 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 3 楼 (⊙o⊙)… 我要汇编的。。方式。。。。。。。。。 2012-5-11 11:13 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 4 楼 void InlinePatch_HoxFix(LPVOID oldFuncAddr,LPVOID newFuncAddr) { __ASM { push esi mov esi,oldFuncAddr cmp word ptr [esi],0xff8b jnz @Fail cmp byte ptr [esi-1],0x90 je @Next1 cmp byte ptr [esi-1],0xcc jnz @Fail @Next1: cmp dword ptr [esi-5],0x90909090 je @Next2 cmp dword ptr [esi-5],0xcccccccc jnz @Fail @Next2: sub esi,5 push 0 push esp push 40 push 7 push esi call VirtualProtect test eax,eax je @Fail1 mov esi,oldFuncAddr //以防esi被改写，重新赋值 mov byte ptr [esi-5],0xe9 mov eax,newFuncAddr sub eax,esi mov dword ptr [esi-4],eax mov word ptr [esi],0xfaeb mov eax,[esp] push esp push eax push 7 sub esi,5 push esi call VirtualProtect pop eax mov eax,0 retn 8 @Fail1: pop eax @Fail: mov eax,0xc0000001 retn 8 } } 2012-5-11 12:08 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 5 楼 O(∩_∩)O谢谢 ko了 2012-5-11 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复