首页
社区
课程
招聘
[求助]ReadProcessMemory读取目标程序HOOK的代码问题
发表于: 2012-10-18 20:49 5685

[求助]ReadProcessMemory读取目标程序HOOK的代码问题

2012-10-18 20:49
5685
最近兴起,想写一个在win7上能用的工具,做法是通过PE知识直接在内存中定位到函数地址,然后通过ReadProcessMemory读取目标程序的函数代码,但是通过OD和工具查看,函数都是被HOOK,HOOK方法是在函数头直接来一个JMP,但是我通过ReadProcessMemory读取到的值是原先的函数代码,而不是JMP代码

另外程序并没有HOOK ReadProcessMemory ,0环一个HOOK都没有,ntdll中也没有被HOOK,不知什么原因,求帮助,求好人

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
莫非不是读取完毕以后才hook的?新手,猜想。
反正很可能读取的时候还没有hook,或者虽然是读取了,但是读取的是一个完整版的镜像。
2012-10-19 16:29
0
雪    币: 16
活跃值: (108)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
今天拿到win7上测试后,ReadProcessMemory读取的内存值没有问题,之前是在XP上写的,所以。。。

主观误导,没有测试就觉得win7上一样了
2012-10-20 12:21
0
雪    币: 4984
活跃值: (3330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
2012-10-24 17:13
0
游客
登录 | 注册 方可回帖
返回
//