[求助]关于劫持DLL后获得原函数的参数，不知道怎么办-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
kkllchun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	kkllchun 2 楼说清楚点啊叫别人怎么帮你呢 2009-4-11 17:16 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼如果没有SDK头文件，可以尝试IDA分析一下，通过分析函数代码对堆栈和寄存器的访问情况来推测参数的个数，并且通过对代码语义的分析，大体上可以推断出参数的作用了。 2009-4-11 17:20 0
kiddult 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kiddult 4 楼就是动态链接库的函数如果劫持的话，怎么获得程序传过来的参数，并且把自己的值返回程序去程序是调用dll的程序 2009-4-11 18:40 0
kiddult 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kiddult 5 楼如果有的话，可以直接用吗？？这样可以吗？？ ALCDECL AheadLib_DlPortReadPortUchar(IN ULONG Port)/////这里不清楚是不是可以这么写 { if(符合一定的值){ …… 自己的函数 …… return 自己想返回的值； ///这里也不清楚可不可以 } else { GetAddress("DlPortReadPortUchar"); __asm JMP EAX; } } 2009-4-11 18:48 0
starhust 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	starhust 6 楼学习中顶一下 2009-4-13 20:05 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 7 楼那个jmp eax，需要注意： 1.如果原来函数是通过寄存器传递参数的，特别是Borland的编译器，会使用EAX来传递参数的，那么这样做会破坏寄存器。对DLL导出的函数，虽然不多见，但还是要查看一下比较好。 2.注意函数调用时栈帧的变化。一般编译器会自动插入类似 push ebp/mov ebp,esp + leave这样的指令，那么你就不能直接jmp eax了，需要先修改栈帧的结构，具体用什么指令，要具体看一下。对VC，使用__declspec(naked)修饰函数，可以阻止编译器自动插入对栈帧调整的指令，不过对naked函数，编译器有很多限制，比如会忽略其返回类型，不能初始化局部变量，不能有return语句等。通常naked函数是用完全用汇编来写的。 2009-4-13 20:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
kkllchun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	kkllchun 2 楼说清楚点啊叫别人怎么帮你呢 2009-4-11 17:16 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼如果没有SDK头文件，可以尝试IDA分析一下，通过分析函数代码对堆栈和寄存器的访问情况来推测参数的个数，并且通过对代码语义的分析，大体上可以推断出参数的作用了。 2009-4-11 17:20 0
kiddult 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kiddult 4 楼就是动态链接库的函数如果劫持的话，怎么获得程序传过来的参数，并且把自己的值返回程序去程序是调用dll的程序 2009-4-11 18:40 0
kiddult 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kiddult 5 楼如果有的话，可以直接用吗？？这样可以吗？？ ALCDECL AheadLib_DlPortReadPortUchar(IN ULONG Port)/////这里不清楚是不是可以这么写 { if(符合一定的值){ …… 自己的函数 …… return 自己想返回的值； ///这里也不清楚可不可以 } else { GetAddress("DlPortReadPortUchar"); __asm JMP EAX; } } 2009-4-11 18:48 0
starhust 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	starhust 6 楼学习中顶一下 2009-4-13 20:05 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 7 楼那个jmp eax，需要注意： 1.如果原来函数是通过寄存器传递参数的，特别是Borland的编译器，会使用EAX来传递参数的，那么这样做会破坏寄存器。对DLL导出的函数，虽然不多见，但还是要查看一下比较好。 2.注意函数调用时栈帧的变化。一般编译器会自动插入类似 push ebp/mov ebp,esp + leave这样的指令，那么你就不能直接jmp eax了，需要先修改栈帧的结构，具体用什么指令，要具体看一下。对VC，使用__declspec(naked)修饰函数，可以阻止编译器自动插入对栈帧调整的指令，不过对naked函数，编译器有很多限制，比如会忽略其返回类型，不能初始化局部变量，不能有return语句等。通常naked函数是用完全用汇编来写的。 2009-4-13 20:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复