在研究一个被VM的程序 3.0.x的，发现用自己写的工具写进去jmphook，jmp指令后面的参数会被分开
原本应该是
jmp 11223344
E9 11223344
变成了
E9 11
22
33 44
但是用CE就可以正常写入跳转
初学内存表示很迷惑 这是VM的作用么？
后来发现用call可以做到不被打乱，随即用call和ret代替hook里的jmp
在程序启动的瞬间修改
但是打开程序会崩溃
而且我发现一般hook用的都是jmp
请问大佬们 call能做为jmp使用么？
‘’--------------------------------------------------------------------------------------------------------
刚刚再次测试了一下，发现是我修改时间问题 我需要等他加载后过1秒钟改才行
改了之后就能完美达到jmp的hook效果 真棒
还不用自己苦哈哈的算跳转地址了
‘’--------------------------------------------------------------------------------------------------------
使用过程中发现 过一段时间程序就会崩溃...
‘’--------------------------------------------------------------------------------------------------------
网上找了很多关于CALL的资料 可是其中大部分都只说到了CALL会改变EIP
翻了挺久才翻到一片文章：
http://www.voidcn.com/article/p-zdvgcuuo-bbb.html
十分详细 特贴与此 希望能够帮助到有需要的人

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课