-
-
[求助]某驱动对api _SEH_prolog 处hook,如何恢复?
-
发表于:
2012-6-11 19:22
3775
-
[求助]某驱动对api _SEH_prolog 处hook,如何恢复?
lkd> u nt!NtOpenProcess
nt!NtOpenProcess:
80573d06 68c4000000 push 0C4h
80573d0b 6810b44e80 push offset nt!ObWatchHandles+0x25c (804eb410)
80573d10 e826f7f6ff call nt!_SEH_prolog (804e343b)
80573d15 33f6 xor esi,esi
80573d17 8975d4 mov dword ptr [ebp-2Ch],esi
80573d1a 33c0 xor eax,eax
80573d1c 8d7dd8 lea edi,[ebp-28h]
80573d1f ab stos dword ptr es:[edi]
有个驱动hook了这个位置。
我想把80573d10处恢复原指令。请问_SEH_prolog的地址如何取得?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
