首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]知道汇编 内核牛人进
发表于: 2012-6-5 06:49 4154

[求助]知道汇编 内核牛人进

viphack 活跃值
4
2012-6-5 06:49
4154
(⊙o⊙)…   写了一份代码  SP2正常   SP3直接挂掉  PUSH EAX
void write inlinehoo(LPVOID oldFuncAddr,LPVOID newFuncAddr)
_asm
PUSH ECX
LEA EAX, oldFuncAdd
MOV EAX,DWORD PTR DS:[EAX]
MOV ECX,-1
DEC ECX
MOV BYTE [EAX],0EB
MOV BYTE [EAX+1],0F9
MOV BYTE [eax-5],0E9
MOV ECX,newFuncAddr
SUB ECX,EAX
MOV DWORD [EAX-4],ECX
POP ECX
POP EAX
       。。。。。。。。。。。。。。。。。。无语中  
          谁能   来个 可用 的asm inline  hook   

  错误 如下:  driver _irql_not_less_or_equal
stop  0x000000d1(0x805bf4e0,0x000000ff,0x0000001,0xba4032ff (这个事我驱动的地址) )

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (4)
cxxxx
雪    币: 101
活跃值: (157)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
不是提示了IRQL等级太高了嘛。。。我宁愿相信是你的NewFun函数写得有问题。。。
2012-6-5 06:59
0
viphack
雪    币: 219
活跃值: (738)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
私信
3
KeRaiseIrqlToDpcLevel          我 提都没提

new  在 sp2 测试 成功通过   
即使在SP3 是否提 KeRaiseIrqlToDpcLeve 电脑都挂
2012-6-5 07:01
0
Winker
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
4
好端端的,为什么要用纯汇编来写hook呢,看看A盾的代码里面的方法吧~
2012-6-5 09:07
0
viphack
雪    币: 219
活跃值: (738)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
私信
5
制作 畸形驱动
2012-6-5 09:14
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//