[求助]最近看Hook KiFastCallEntry碰到一个保存寄存器的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
mrbean 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	mrbean 2 楼菜鸟撸过，弱弱的问一下，不可以写成 mov ReturnHookKiFastCallEntry_ebx, ebx 吗？ c++写__asm汇编的时候，这样就把值保存到变量中去了啊，你的 [ReturnHookKiFastCallEntry_ebx] ，加了括号，你确定这个地址的内存能写么？ ------------------------------- 貌似我自己搞错语法了，忽视我这一楼吧 2013-4-24 20:12 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼好久没搞，都不记得EBX是什么的。但大体上看，如果EBX每次都不同，那就有问题了， ReturnHookKiFastCallEntry_ebx是全局变量，多线程的时候，线程2的ebx存放到线程1的ebx里面去了 2013-4-24 20:20 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 8 关注私信	organic 3 4 楼多谢指点，我开始以为是多线程内存访问问题，还试过锁定内存 2013-4-24 21:00 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 5 楼你这样写不止有锁定内存的问题,还有线程的问题.比如多线程并发的时候会造成异常.最好的办法是建立一张HOOK数组,跟系统内核的SSDT表一样,这样只需要访问对应的ID就可以判断是不是需要HOOK 的函数 2013-4-24 22:59 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 8 关注私信	organic 3 6 楼代码中有建立，这里没贴出来，谢谢提醒 2013-4-25 13:41 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 7 楼 __declspec(naked) void KiFastSystemCallEx() { __asm { mov edx,esp __emit 0x0F __emit 0x34 retn } } __declspec(naked) void KiFastSystemCall() { __asm{ pushad pushfd cmp dword ptr [eax4+dwHookSystemCall],0 jz Label popfd popad add esp,4 jmp dword ptr [dwHookSystemCall+eax4] Label: popfd popad jmp KiFastSystemCallEx } } 2013-4-26 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
mrbean 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	mrbean 2 楼菜鸟撸过，弱弱的问一下，不可以写成 mov ReturnHookKiFastCallEntry_ebx, ebx 吗？ c++写__asm汇编的时候，这样就把值保存到变量中去了啊，你的 [ReturnHookKiFastCallEntry_ebx] ，加了括号，你确定这个地址的内存能写么？ ------------------------------- 貌似我自己搞错语法了，忽视我这一楼吧 2013-4-24 20:12 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼好久没搞，都不记得EBX是什么的。但大体上看，如果EBX每次都不同，那就有问题了， ReturnHookKiFastCallEntry_ebx是全局变量，多线程的时候，线程2的ebx存放到线程1的ebx里面去了 2013-4-24 20:20 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 8 关注私信	organic 3 4 楼多谢指点，我开始以为是多线程内存访问问题，还试过锁定内存 2013-4-24 21:00 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 5 楼你这样写不止有锁定内存的问题,还有线程的问题.比如多线程并发的时候会造成异常.最好的办法是建立一张HOOK数组,跟系统内核的SSDT表一样,这样只需要访问对应的ID就可以判断是不是需要HOOK 的函数 2013-4-24 22:59 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 8 关注私信	organic 3 6 楼代码中有建立，这里没贴出来，谢谢提醒 2013-4-25 13:41 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 7 楼 __declspec(naked) void KiFastSystemCallEx() { __asm { mov edx,esp __emit 0x0F __emit 0x34 retn } } __declspec(naked) void KiFastSystemCall() { __asm{ pushad pushfd cmp dword ptr [eax4+dwHookSystemCall],0 jz Label popfd popad add esp,4 jmp dword ptr [dwHookSystemCall+eax4] Label: popfd popad jmp KiFastSystemCallEx } } 2013-4-26 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复