inline hook后jmp指令解析错误问题？-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
qiusuper 雪币： 57 活跃值： (2433) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 103 粉丝 8 关注私信	qiusuper 2 楼挂钩到新地址上新地址模拟函数的头部再调回来jump到函数的HOOK的地址下面调用函数就直接调用该地址这样就不需要恢复函数 2024-9-11 08:22 0
yeyeshun 雪币： 767 活跃值： (3415) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 3 楼出错的两条指令，应该都是rip相关的，就是里面的内存地址、跳转目标都是以当前rip来计算偏移的，所以你把代码复制到新地址，就会出错。想维持原指令，只通过修复偏移地址的话，可能不太显示，因为储存偏移的空间不一定够，比如je那条指令，本身是个短跳，偏移只给了一个字节，而实际应用的时候，新地址与旧地址的偏差甚至可能超出4个字节。所以应该先理解指令指令，然后通过其他指令变相实现旧指令的功能。如果要再加上通用性，那就更麻烦了。至于另外提到的挂钩后恢复指令执行的方案，可能要考虑多线程冲突。所以建议还是用成熟的轮子吧 2024-9-11 08:50 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 4 楼 qiusuper 挂钩到新地址上新地址模拟函数的头部再调回来jump到函数的HOOK的地址下面调用函数就直接调用该地址这样就不需要恢复函数这个怎么挂钩到新地址上呢，除了jmp过去，对于系统函数就只能改ssdt表了吧，在不更改原来函数代码的情况下？ 2024-9-11 08:56 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 5 楼 yeyeshun 出错的两条指令，应该都是rip相关的，就是里面的内存地址、跳转目标都是以当前rip来计算偏移的，所以你把代码复制到新地址，就会出错。想维持原指令，只通过修复偏移地址的话，可能不太显示，因为储存偏移的空 ... 是的 detours就是这么干的 2024-9-11 09:00 0
shuax 雪币： 1846 活跃值： (1801) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 6 楼开头2行就足够hook了吧，应该和第三行汇编无关。 2024-9-11 09:03 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 7 楼 shuax 开头2行就足够hook了吧，应该和第三行汇编无关。如果是用jmp指令的话需要14个字节如果使用 push ret 指令跳转写入的字节会少一些 2024-9-11 09:21 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 8 楼 shuax 开头2行就足够hook了吧，应该和第三行汇编无关。我还是直接用Detours吧，自己写确实比较麻烦 2024-9-11 09:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
qiusuper 雪币： 57 活跃值： (2433) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 103 粉丝 8 关注私信	qiusuper 2 楼挂钩到新地址上新地址模拟函数的头部再调回来jump到函数的HOOK的地址下面调用函数就直接调用该地址这样就不需要恢复函数 2024-9-11 08:22 0
yeyeshun 雪币： 767 活跃值： (3415) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 3 楼出错的两条指令，应该都是rip相关的，就是里面的内存地址、跳转目标都是以当前rip来计算偏移的，所以你把代码复制到新地址，就会出错。想维持原指令，只通过修复偏移地址的话，可能不太显示，因为储存偏移的空间不一定够，比如je那条指令，本身是个短跳，偏移只给了一个字节，而实际应用的时候，新地址与旧地址的偏差甚至可能超出4个字节。所以应该先理解指令指令，然后通过其他指令变相实现旧指令的功能。如果要再加上通用性，那就更麻烦了。至于另外提到的挂钩后恢复指令执行的方案，可能要考虑多线程冲突。所以建议还是用成熟的轮子吧 2024-9-11 08:50 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 4 楼 qiusuper 挂钩到新地址上新地址模拟函数的头部再调回来jump到函数的HOOK的地址下面调用函数就直接调用该地址这样就不需要恢复函数这个怎么挂钩到新地址上呢，除了jmp过去，对于系统函数就只能改ssdt表了吧，在不更改原来函数代码的情况下？ 2024-9-11 08:56 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 5 楼 yeyeshun 出错的两条指令，应该都是rip相关的，就是里面的内存地址、跳转目标都是以当前rip来计算偏移的，所以你把代码复制到新地址，就会出错。想维持原指令，只通过修复偏移地址的话，可能不太显示，因为储存偏移的空 ... 是的 detours就是这么干的 2024-9-11 09:00 0
shuax 雪币： 1846 活跃值： (1801) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 6 楼开头2行就足够hook了吧，应该和第三行汇编无关。 2024-9-11 09:03 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 7 楼 shuax 开头2行就足够hook了吧，应该和第三行汇编无关。如果是用jmp指令的话需要14个字节如果使用 push ret 指令跳转写入的字节会少一些 2024-9-11 09:21 0
lostin9772 雪币： 716 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lostin9772 8 楼 shuax 开头2行就足够hook了吧，应该和第三行汇编无关。我还是直接用Detours吧，自己写确实比较麻烦 2024-9-11 09:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 inline hook后jmp指令解析错误问题？ 10雪币