-
-
[求助]依然是ReadVirtualMemory
-
发表于:
2013-12-4 23:44
6527
-
最近正在学习驱动
问几个问题
805AA85A push 1C
805AA85C 68 E0A44D80 push 804DA4E0
805AA861 E8 4AE7F8FF call 80538FB0
805AA866 64:A1 24010000 mov eax, dword ptr fs:[124]
805AA86C 8BF8 mov edi, eax
805AA86E 8A87 40010000 mov al, byte ptr [edi+140]
这个是没被HOOK的
805AA85A 6A 1C mov eax,0B12B308
805AA85C 68 E0A44D80 jmp eax
805AA861 E8 4AE7F8FF call 80538FB0
805AA866 64:A1 24010000 mov eax, dword ptr fs:[124]
805AA86C 8BF8 mov edi, eax
805AA86E 8A87 40010000 mov al, byte ptr [edi+140]
这个是被HOOK的
只要是
mov eax, 0B120B308
jmp eax
替换成
push 1C
push 804DA4E0
就能恢复次HOOK了
所以需要做一个INLINE HOOK
但是这里面的 push 804DA4E0 希望能在被HOOK后得到 804DA4E0这个地址
这个push的数值是不是每台机子都一样的,如果不一样,
被HOOK了以后怎么找到这个数值?
求C++源码 求各位大神帮帮忙 已经为了这个问题烦恼很久了。。。。。。。。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
