在nt!*API中, 有些入口地址处附近有5个字节的JMP代码. 用FOLLOW_JMP宏可以算出JMP到的绝对地址.
#define FOLLOW_JMP( JMPADDR ) ((ULONG)(JMPADDR) + 5 + *(ULONG*)((ULONG)(JMPADDR) + 1))
[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!
