关于动态改变一个程序的汇编码的问题请教-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 2 楼 RT 2004-11-28 13:25 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 3 楼你希望拦截了他的 API，便跳到你的函数做处理吗 ? 为甚么你不能用直接的 call 去呼叫你的函数 ? 我不明白我以前写拦截 API 的东西，就是当 dll 加载，便更新它的 IAT ，把我的函数位置写入去，当它呼叫 API 的时候，便会来到我的函数。我的函数格式跟原来的 API 设计成一样，在 C 原码里使用 “WINAPI” (等于 FAR PASCAL) 这个calling convention eg : 拦截 MessageBoxA 我的函数宣告是 int WINAPI NewMessageBox( HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT Type ); 2004-11-28 13:40 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 4 楼估计是VC生成的函数框架代码影响了你的代码，试试用naked： void __declspec(naked) MyNakedFunction() { // Naked functions must provide their own prolog. __asm { PUSH EBP MOV ESP, EBP SUB ESP, __LOCAL_SIZE } // Add your own code here... // ...... // And we must provide epilog. __asm { POP EBP RET } } 2004-11-28 13:44 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 5 楼深有体会 void __declspec(naked) 确实减少了很多内嵌汇编的麻烦 2004-11-28 13:56 0
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 6 楼哦受教有没有在编译器上选择选项就可以把编译器加上的代码去掉呢？ 2004-11-28 14:21 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 7 楼没有 2004-11-28 14:39 0
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 8 楼谢谢4楼5楼 2004-11-28 14:57 0
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 9 楼成功 2004-11-30 14:58 0
fredcc 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	fredcc 10 楼嗯学习 void __declspec(naked) 是叫编译器别自作聪明的加东西是吧比如一些堆栈的保护。。 2004-11-30 15:10 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 11 楼收藏! 2004-11-30 15:31 0
NoneName 雪币： 489 活跃值： (112) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	NoneName 1 12 楼老罗最近可好? 哈,有时编译器就是自作聪明,我写了一个多线程读写同一个bLocked变量来同步的东东,线程1只写,线程2只读,在线程2中 ... while (bLocked); dosomething(); ... 结果它给我编译成了 mov al,bLocked test al,al jne label call dosomething ... ret label: jmp label 虽然我这样写有些不规范,但... 2004-11-30 16:36 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 13 楼最初由 NoneName 发布老罗最近可好? 哈,有时编译器就是自作聪明,我写了一个多线程读写同一个bLocked变量来同步的东东,线程1只写,线程2只读,在线程2中 ... while (bLocked); ........ 呵呵，VC并没有编译错啊... 2004-11-30 16:41 0
NoneName 雪币： 489 活跃值： (112) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	NoneName 1 14 楼最初由 luocong 发布呵呵，VC并没有编译错啊... 唉,都是我的错~~~~~ 你的签名真有个性~:D 2004-11-30 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 2 楼 RT 2004-11-28 13:25 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 3 楼你希望拦截了他的 API，便跳到你的函数做处理吗 ? 为甚么你不能用直接的 call 去呼叫你的函数 ? 我不明白我以前写拦截 API 的东西，就是当 dll 加载，便更新它的 IAT ，把我的函数位置写入去，当它呼叫 API 的时候，便会来到我的函数。我的函数格式跟原来的 API 设计成一样，在 C 原码里使用 “WINAPI” (等于 FAR PASCAL) 这个calling convention eg : 拦截 MessageBoxA 我的函数宣告是 int WINAPI NewMessageBox( HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT Type ); 2004-11-28 13:40 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 4 楼估计是VC生成的函数框架代码影响了你的代码，试试用naked： void __declspec(naked) MyNakedFunction() { // Naked functions must provide their own prolog. __asm { PUSH EBP MOV ESP, EBP SUB ESP, __LOCAL_SIZE } // Add your own code here... // ...... // And we must provide epilog. __asm { POP EBP RET } } 2004-11-28 13:44 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 5 楼深有体会 void __declspec(naked) 确实减少了很多内嵌汇编的麻烦 2004-11-28 13:56 0
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 6 楼哦受教有没有在编译器上选择选项就可以把编译器加上的代码去掉呢？ 2004-11-28 14:21 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 7 楼没有 2004-11-28 14:39 0
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 8 楼谢谢4楼5楼 2004-11-28 14:57 0
Dion_love 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 29 回帖 147 粉丝 0 关注私信	Dion_love 9 楼成功 2004-11-30 14:58 0
fredcc 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	fredcc 10 楼嗯学习 void __declspec(naked) 是叫编译器别自作聪明的加东西是吧比如一些堆栈的保护。。 2004-11-30 15:10 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 11 楼收藏! 2004-11-30 15:31 0
NoneName 雪币： 489 活跃值： (112) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	NoneName 1 12 楼老罗最近可好? 哈,有时编译器就是自作聪明,我写了一个多线程读写同一个bLocked变量来同步的东东,线程1只写,线程2只读,在线程2中 ... while (bLocked); dosomething(); ... 结果它给我编译成了 mov al,bLocked test al,al jne label call dosomething ... ret label: jmp label 虽然我这样写有些不规范,但... 2004-11-30 16:36 0
luocong 雪币： 1593 活跃值： (811) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 13 楼最初由 NoneName 发布老罗最近可好? 哈,有时编译器就是自作聪明,我写了一个多线程读写同一个bLocked变量来同步的东东,线程1只写,线程2只读,在线程2中 ... while (bLocked); ........ 呵呵，VC并没有编译错啊... 2004-11-30 16:41 0
NoneName 雪币： 489 活跃值： (112) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	NoneName 1 14 楼最初由 luocong 发布呵呵，VC并没有编译错啊... 唉,都是我的错~~~~~ 你的签名真有个性~:D 2004-11-30 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复