[讨论]鬼节快乐，直接转发函数和即时调用函数的区别，直接跳入原始函数和调用原始函数后返回的区别。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-1 00:30 2 楼 0 我的理解是：直接跳入原始函数：模拟函数的返回地址，直接JMP入原始函数，也就是模拟函数不能进行后续操作。调用原始函数后返回：即保存本函数返回地址，调用原函数后返回到模拟函数内进行后续处理。
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-1 00:31 3 楼 0 还有win7下lpk.dll劫持为何无效、有什么解决办法吗，注册表改了的，问题依旧。悲剧依旧。
hxheiyao 雪币： 100 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	hxheiyao 2012-9-1 11:27 4 楼 0 我只知道win7貌似先找系统目录的DLL，然后在从本目录找，自己的lpk放到程序目录就失效了。
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-1 11:33 5 楼 0 有什么好办法?
hbfp 雪币： 223 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 2012-9-2 20:07 6 楼 0 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "ExcludeFromKnownDlls"=hex(7):6c,00,70,00,6b,00,2e,00,64,00,6c,00,6c,00,00,00,\ 00,00
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-3 15:08 7 楼 0 [QUOTE=hbfp;1099155]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "ExcludeFromKnownDlls"=hex(7):6c,00,70,...[/QUOTE] 喔喔喔~！这是神马？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (6)
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-1 00:30 2 楼 0 我的理解是：直接跳入原始函数：模拟函数的返回地址，直接JMP入原始函数，也就是模拟函数不能进行后续操作。调用原始函数后返回：即保存本函数返回地址，调用原函数后返回到模拟函数内进行后续处理。
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-1 00:31 3 楼 0 还有win7下lpk.dll劫持为何无效、有什么解决办法吗，注册表改了的，问题依旧。悲剧依旧。
hxheiyao 雪币： 100 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	hxheiyao 2012-9-1 11:27 4 楼 0 我只知道win7貌似先找系统目录的DLL，然后在从本目录找，自己的lpk放到程序目录就失效了。
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-1 11:33 5 楼 0 有什么好办法?
hbfp 雪币： 223 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 2012-9-2 20:07 6 楼 0 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "ExcludeFromKnownDlls"=hex(7):6c,00,70,00,6b,00,2e,00,64,00,6c,00,6c,00,00,00,\ 00,00
ruoko 雪币： 116 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 2012-9-3 15:08 7 楼 0 [QUOTE=hbfp;1099155]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "ExcludeFromKnownDlls"=hex(7):6c,00,70,...[/QUOTE] 喔喔喔~！这是神马？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复