[求助]虚函数地址能计算出来吗-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]虚函数地址能计算出来吗

发表于: 2016-4-20 21:13 4802

[求助]虚函数地址能计算出来吗

火勺

活跃值

2016-4-20 21:13

4802

d3d9.dll 0x00000000730C09F5->_  inline  E9 0A F6 24 90 8B FF 55 8B EC
d3d9.dll 0x00000000730C279F->_  inline  E9 60 D8 0E 90 8B FF 55 8B EC
d3d9.dll 0x00000000730EA064->_  inline  E9 9B 5F 0A 90  8B FF 55 8B EC
d3d9.dll 0x00000000730EBE81->_  inline  E9 7E 41 13 90  8B FF 55 8B EC
d3d9.dll 0x00000000730EF0F2->_  inline  E9 0D 0F 21 90  8B FF 55 8B EC
730EA064，A046是Present函数，能计算出其他地址是什么函数吗
我想知道他都HOOK了什么虚函数

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・1

免费

支持

分享

最新回复 (15)
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 2 楼虚函数在内存中地址是怎么分配的，有没有规律 2016-4-25 06:11 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 3 楼虚函数地址怎么计算啊，急求指点 2016-4-30 20:12 0
syser 雪币： 4203 活跃值： (5460) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 4 楼真心的这种基础不能再基础的问题懒得回答 2016-4-30 23:29 0
冰怜泯灭雪币： 144 活跃值： (31) 能力值： ( LV8，RANK：140 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	冰怜泯灭 1 5 楼模块基址加偏移算不出来么 ? 难道一个dll换个电脑的同样位置代码就不一样么。 2016-4-30 23:40 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 6 楼算不出来呀，我用模块基址算出一个地址，再去推其他地址不对，指点一下谢谢 2016-5-1 00:04 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 7 楼根据偏移推其他地址，然后我hook出来的地址和他的不一样 2016-5-1 00:06 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 8 楼 d3d9确实不能用偏移的办法做，因为它是COM的，只能采用pattern就是特征码定位的方法 2016-5-1 03:07 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 9 楼那几个地址是什么函数，怎么分析才能知道 2016-5-2 00:46 0
冰怜泯灭雪币： 144 活跃值： (31) 能力值： ( LV8，RANK：140 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	冰怜泯灭 1 10 楼 COM也是dll。可以通过模块基址加偏移的。不然每次重启虚表函数地址都重写？ 2016-5-2 18:49 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 11 楼虚表函数地址不变，但是怎么计算这个地址是什么函数呢比如D3D9 模块地址是6ad71000 6adba046 是Present函数 6adbbe81是什么函数呢 2016-5-3 03:10 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 12 楼你实际hook过打d3d吗，不要想当然，自己做一下就知道了 2016-5-3 12:43 0
冰怜泯灭雪币： 144 活跃值： (31) 能力值： ( LV8，RANK：140 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	冰怜泯灭 1 13 楼额 . DWORD __stdcall GetDrawIndexedPrimitiveAddress() { // 0x58BBB6B1 0x58B90000 0x2B6B1 HMODULE hModule = ::GetModuleHandle("d3d9.dll"); if (hModule == INVALID_HANDLE_VALUE) { return NULL; } return (DWORD)hModule + 0x2B6B1; } DrawIndexedPrimitive 这个是COM虚函数吧。。怎么就可以通过偏移取到。 2016-5-3 12:56 0
冰怜泯灭雪币： 144 活跃值： (31) 能力值： ( LV8，RANK：140 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	冰怜泯灭 1 14 楼好吧。我一直理解错了。我以为你是知道函数名取固定函数位置，那像你说的。可以自己构造个抽象类然后把D3D9的声明拷贝一份。这样偏移第几个就是你对应的虚函数吧。前提你拿到对象。 2016-5-3 12:59 0
扫地sodi 雪币： 217 活跃值： (144) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 23 粉丝 2 关注私信	扫地sodi 15 楼 COM的话，创建实例的时候会返回虚函数的列表的 2016-5-8 23:46 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 16 楼最后用od分析程找到这几个函数了，其实我想问的是同个表里的虚函数地址分配的有规律没 2016-5-9 04:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

火勺

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区