求助]call指令对其的问题?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼 call eax //eax==apiaddress or call dword ptr [xxxxxxx] // xxxxxxx->apiaddress 2009-5-24 21:13 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 3 楼首先感谢一下fixfix 我call的是内核函数ObOpenObjectByPointer ,貌似这样子不可以 2009-5-24 22:04 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 4 楼 push $CCOUNTED_UNICODE_STRING ("ObOpenObjectByPointer") call MmGetSystemRoutineAddress call eax 2009-5-24 22:11 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 5 楼 vc在驱动中是不是要对 call地址进行修复过啊这样直接还是不可以内核中的代码应该怎么模拟? 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 2009-5-24 22:22 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 6 楼 look 4 lou na jiu shi moni 2009-5-24 22:23 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 7 楼 4楼的代码不行 VC直接报错了 2009-5-24 22:25 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 8 楼那代码给你传达的信息是先用　MmGetSystemRoutineAddress 获取那函数地址然后再ＣＡＬＬ 2009-5-24 22:31 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 9 楼意思我知道就是地址什么都对但是一运行跳转的地址完全不是那样比如真实的ObOpenObjectByPointer地址是0x8056d47d 驱动运行之后发现call的地址变成了其他的未知地址 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 模拟一模一样也不行 2009-5-24 22:46 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 10 楼把ＡＰＩ地址放到个XXXXXXXX全局变量里，然后 call dword ptr [xxxxxxxx] 2009-5-24 22:52 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 11 楼 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 9f7dffff == 8056d47d - -- 805756d9 ---5 805756d9 这就不一样了你看看哪一环出错把 2009-5-24 22:55 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 12 楼内核原始的 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 我编的在内存中的汇编 821f93e7 e87dd45680 call 02766869 结果call到其他的未知地址去了 2009-5-24 23:06 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 13 楼看１１楼的算法　看那个地址错了用１０楼的方法把，那样不用算 2009-5-24 23:07 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 14 楼 11楼算法没看明白什么意思怎么换算的 2009-5-24 23:11 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 15 楼全局变量. DWORD add = (DWORD)ObOpenObjectByPointer; __declspec(naked) my_function_detour_seaccesscheck() { __asm { // exec missing instructions // 模拟前面的代码 push ebp mov ebp, esp push ebx xor ebx, ebx cmp [ebp+24], bl call [add] } } 2009-5-24 23:16 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 16 楼可以了非常感谢六月和 fixfix 2009-5-24 23:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼 call eax //eax==apiaddress or call dword ptr [xxxxxxx] // xxxxxxx->apiaddress 2009-5-24 21:13 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 3 楼首先感谢一下fixfix 我call的是内核函数ObOpenObjectByPointer ,貌似这样子不可以 2009-5-24 22:04 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 4 楼 push $CCOUNTED_UNICODE_STRING ("ObOpenObjectByPointer") call MmGetSystemRoutineAddress call eax 2009-5-24 22:11 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 5 楼 vc在驱动中是不是要对 call地址进行修复过啊这样直接还是不可以内核中的代码应该怎么模拟? 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 2009-5-24 22:22 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 6 楼 look 4 lou na jiu shi moni 2009-5-24 22:23 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 7 楼 4楼的代码不行 VC直接报错了 2009-5-24 22:25 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 8 楼那代码给你传达的信息是先用　MmGetSystemRoutineAddress 获取那函数地址然后再ＣＡＬＬ 2009-5-24 22:31 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 9 楼意思我知道就是地址什么都对但是一运行跳转的地址完全不是那样比如真实的ObOpenObjectByPointer地址是0x8056d47d 驱动运行之后发现call的地址变成了其他的未知地址 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 模拟一模一样也不行 2009-5-24 22:46 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 10 楼把ＡＰＩ地址放到个XXXXXXXX全局变量里，然后 call dword ptr [xxxxxxxx] 2009-5-24 22:52 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 11 楼 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 9f7dffff == 8056d47d - -- 805756d9 ---5 805756d9 这就不一样了你看看哪一环出错把 2009-5-24 22:55 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 12 楼内核原始的 805756d9 e89f7dffff call nt!ObOpenObjectByPointer (8056d47d) 我编的在内存中的汇编 821f93e7 e87dd45680 call 02766869 结果call到其他的未知地址去了 2009-5-24 23:06 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 13 楼看１１楼的算法　看那个地址错了用１０楼的方法把，那样不用算 2009-5-24 23:07 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 14 楼 11楼算法没看明白什么意思怎么换算的 2009-5-24 23:11 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 15 楼全局变量. DWORD add = (DWORD)ObOpenObjectByPointer; __declspec(naked) my_function_detour_seaccesscheck() { __asm { // exec missing instructions // 模拟前面的代码 push ebp mov ebp, esp push ebx xor ebx, ebx cmp [ebp+24], bl call [add] } } 2009-5-24 23:16 0
gonzoa 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	gonzoa 16 楼可以了非常感谢六月和 fixfix 2009-5-24 23:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复