-
-
重载DLL后函数桥接问题.
-
发表于: 2014-11-3 15:28
-
这两天在尝试猥琐反HOOK的DEMO.对方HOOK了NtCreateThreadEx
因为是KernelBase.dll.CreateRemoteThreadEx调用了Ntdll.NtCreateThreadEx
我的办法是重载一个Ntdll.dll,方便以后部分函数走阳关大道.
然后修改KernelBase.dll.CreateRemoteThreadEx里面的CALL 到NewNtdll.NtCreateThreadEx
结果报错了.然后的以为是重载DLL的问题.于是在Ntdll.dll模块末尾的空白区域复制了Ntdll.NtCreateThreadEx的代码.
最后再修改KernelBase.dll.CreateRemoteThreadEx里面的CALL到77DB5A00,
结果也报错.
求大神指点.是哪里没处理好么?..
因为是KernelBase.dll.CreateRemoteThreadEx调用了Ntdll.NtCreateThreadEx
我的办法是重载一个Ntdll.dll,方便以后部分函数走阳关大道.
然后修改KernelBase.dll.CreateRemoteThreadEx里面的CALL 到NewNtdll.NtCreateThreadEx
结果报错了.然后的以为是重载DLL的问题.于是在Ntdll.dll模块末尾的空白区域复制了Ntdll.NtCreateThreadEx的代码.
77DB5A00 B8 A5000000 MOV EAX,0xA5
77DB5A05 33C9 XOR ECX,ECX
77DB5A07 8D5424 04 LEA EDX,SS:[ESP+0x4]
77DB5A0B 64:FF15 C0000000 CALL FS:[0xC0]
77DB5A12 83C4 04 ADD ESP,0x4
77DB5A15 C2 2C00 RETN 0x2C
最后再修改KernelBase.dll.CreateRemoteThreadEx里面的CALL到77DB5A00,
结果也报错.
求大神指点.是哪里没处理好么?..
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
