[求助]怎么绕过这样的InlineHook?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 2 楼在B175DB6A处jmp应该是可以成功的，估计是堆栈没弄好。既然是call eax，也可以直接在B175DB6A处修改栈中的返回地址，然后直接RET。 2015-8-10 07:43 0
褐眼男子雪币： 60 活跃值： (439) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 4 关注私信	褐眼男子 1 3 楼 hook 0xB175DB6A 这里是没问题呢因为是call过来不是jmp过来，蓝屏估计是栈平衡问题 2015-8-10 08:19 0
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 4 楼直接修改表的地址走你的函数就OK了判断访问的进程是游戏的就执行正常的钩子 2015-8-10 08:25 0
FadeTrack 雪币： 70 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	FadeTrack 1 5 楼想了一会，直接重载内核是来的最快的 2015-8-10 09:11 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 6 楼 0xB175DB6A mov [esp], NewKernelNtOpenProcess 0xB175DB71 ret 2015-8-10 09:43 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 7 楼 LZ已经说了不能修改SSDT表里的地址了，机器会重启。 2015-8-10 11:48 0
tmflxw 雪币： 1525 活跃值： (3422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 117 粉丝 19 关注私信	tmflxw 8 楼重载内核吧，简单方便，长期有效 2015-8-10 11:56 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 9 楼这函数自己实现一个不就好了，另外堆栈不平衡你要吧返回地址弄掉就行了你在B175DB6A中JMP到你自己那里，之后 add esp,4 push 0C4 push 804DB4C0 jmp 805CC490 2015-8-10 12:48 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 10 楼重载内核不通过ssdt调用直接IRP调用新内核ZwOpenProcess或者NtOpenProcess 2015-8-10 13:34 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 11 楼关键这是一个CALL hook 注意栈里面 ESP 所指是返回地址(下一句) 也即： 805CC48D HOOK 0xB175DB6A 直接 JMP 我的地址我的地址： pushad pushfd 做你想做的 popfd popad push 0C4 push 804DB4C0 JMP [ESP + 0x8] ；此时 ESP + 8处就是 805CC48D （返回地址） 2015-8-10 17:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 2 楼在B175DB6A处jmp应该是可以成功的，估计是堆栈没弄好。既然是call eax，也可以直接在B175DB6A处修改栈中的返回地址，然后直接RET。 2015-8-10 07:43 0
褐眼男子雪币： 60 活跃值： (439) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 4 关注私信	褐眼男子 1 3 楼 hook 0xB175DB6A 这里是没问题呢因为是call过来不是jmp过来，蓝屏估计是栈平衡问题 2015-8-10 08:19 0
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 4 楼直接修改表的地址走你的函数就OK了判断访问的进程是游戏的就执行正常的钩子 2015-8-10 08:25 0
FadeTrack 雪币： 70 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	FadeTrack 1 5 楼想了一会，直接重载内核是来的最快的 2015-8-10 09:11 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 6 楼 0xB175DB6A mov [esp], NewKernelNtOpenProcess 0xB175DB71 ret 2015-8-10 09:43 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 7 楼 LZ已经说了不能修改SSDT表里的地址了，机器会重启。 2015-8-10 11:48 0
tmflxw 雪币： 1525 活跃值： (3422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 117 粉丝 19 关注私信	tmflxw 8 楼重载内核吧，简单方便，长期有效 2015-8-10 11:56 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 9 楼这函数自己实现一个不就好了，另外堆栈不平衡你要吧返回地址弄掉就行了你在B175DB6A中JMP到你自己那里，之后 add esp,4 push 0C4 push 804DB4C0 jmp 805CC490 2015-8-10 12:48 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 10 楼重载内核不通过ssdt调用直接IRP调用新内核ZwOpenProcess或者NtOpenProcess 2015-8-10 13:34 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 11 楼关键这是一个CALL hook 注意栈里面 ESP 所指是返回地址(下一句) 也即： 805CC48D HOOK 0xB175DB6A 直接 JMP 我的地址我的地址： pushad pushfd 做你想做的 popfd popad push 0C4 push 804DB4C0 JMP [ESP + 0x8] ；此时 ESP + 8处就是 805CC48D （返回地址） 2015-8-10 17:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复