[求助]PostMessage 怎样过np保护-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 2 楼在浪漫看到的吧,^_^ 2008-4-14 16:38 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼从以上代码上看来，应该是这个意思： np对PostMessage开头做了inline hook 即原来PostMessage函数开头应该是： mov edi,edi push ebp mov ebp,esp 正好5个字节，但是np把它改成了 jmp nphookfunction 即jmp到np自定义的函数中。在此函数中对消息进行过滤（实现保护功能），然后再jmp回原PostMessage中。所以现在的对付方法是： mov edi,edi push ebp mov ebp,esp;自己执行原PostMessage的前5个字节代码 jmp PostMessage+5;再跳到5个字节之后去执行这样就绕过了np在PostMessage前5个字节的inline hook 也就是说，现在编程，原来call PostMessage的地方，现在就转而call这段代码。在Delphi中，可以内嵌win32汇编实现。 2008-4-14 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 2 楼在浪漫看到的吧,^_^ 2008-4-14 16:38 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼从以上代码上看来，应该是这个意思： np对PostMessage开头做了inline hook 即原来PostMessage函数开头应该是： mov edi,edi push ebp mov ebp,esp 正好5个字节，但是np把它改成了 jmp nphookfunction 即jmp到np自定义的函数中。在此函数中对消息进行过滤（实现保护功能），然后再jmp回原PostMessage中。所以现在的对付方法是： mov edi,edi push ebp mov ebp,esp;自己执行原PostMessage的前5个字节代码 jmp PostMessage+5;再跳到5个字节之后去执行这样就绕过了np在PostMessage前5个字节的inline hook 也就是说，现在编程，原来call PostMessage的地方，现在就转而call这段代码。在Delphi中，可以内嵌win32汇编实现。 2008-4-14 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复