[求助]档截ReadFile（）函数后程序发生异常-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (1)
youxiaxy 雪币： 2056 活跃值： (1471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 224 粉丝 3 关注私信	youxiaxy 2 楼错误的原因有二(可能并不完整)：第一。EIP不对。hook_x86 里面的 void* old 应改为 (void*)(p + 2); 短跳占了两个字节。而你只加了1，导致 EIP 不对。第二。(我没试XP和其他系统，如果你用的其他系统，这一条作为参考建议)你的 HOOK 代码不完善。你只考虑了开头为 mov edi,edi 这类的 “标准API” 还有一些API 开头不是无用指令的。比如我的 W7 ReadFile 开头是 Push 18 , 毁坏了指令却没有恢复现场。一旦执行。只能是死。建议：使用稳定靠谱的 HOOK 引擎/代码、论坛有海风月影的HOOK引擎。或者 MHOOK ，MINHOOK。还有微软的。。。最后于 2018-7-27 16:57 被youxiaxy编辑，原因： 2018-7-27 16:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

youxiaxy

雪币： 2056

活跃值： (1471)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

224

粉丝

关注

私信

youxiaxy: 2 楼

错误的原因有二(可能并不完整)：
第一。EIP不对。hook_x86  里面的 void* old 应改为 (void*)(p + 2);   短跳占了两个字节。而你只加了1，导致  EIP 不对。
第二。(我没试XP和其他系统，如果你用的其他系统，这一条作为参考建议)你的 HOOK 代码不完善。你只考虑了开头为 mov edi,edi 这类的 “标准API” 还有一些API 开头不是无用指令的。比如我的 W7  ReadFile 开头是 Push 18  ,  毁坏了指令却没有恢复现场。一旦执行。只能是死。

建议：使用稳定靠谱的 HOOK 引擎/代码、论坛有  海风月影的HOOK引擎。或者 MHOOK ，MINHOOK。还有微软的。。。

最后于 2018-7-27 16:57 被youxiaxy编辑，原因：

2018-7-27 16:56