首页
社区
课程
招聘
[求助]BlockInput这个函数RING3下的代码应该怎么写?
发表于: 2009-8-18 14:00 5513

[求助]BlockInput这个函数RING3下的代码应该怎么写?

2009-8-18 14:00
5513
我的意思是,我想自己实现BlockInput R3下的代码而不调用API BlockInput,从而不会出现在导入表表里面

这个函数就几行代码。。
1136应该是系统服务号
但7FFE0300是一个什么变量?怎么定位的?

77D6CA7E   B8 36110000     mov     eax, 1136
77D6CA83    BA 0003FE7F     mov     edx, 7FFE0300
77D6CA88    FF12            call    dword ptr [edx]                  ; ntdll.KiFastSystemCall
77D6CA8A    C2 0400         retn    4

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 251
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ShareUserData!XXXX
是内核与所有用户态进程共享的一个页
7FFE0300 符号名称忘了,内容是指向 系统调用的实现代码
这么处理是因为,基于性能考虑,对不同的CPU采用不同的实现,为 int 2e 或者 SysCall或者SysEnter之类的
2009-8-18 15:35
0
雪    币: 53
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
多谢楼上的指点。。看得出你对内核很了解。。

我怎么得到7FFE0300的符号名称?去哪找?
您推荐我看些什么相关的资料?

简单的说就是。。我这个函数应该怎么写呢?

BOOL __declspec(naked) MyBlockInput
{

}
2009-8-18 16:29
0
雪    币: 952
活跃值: (1821)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
`````````````````上面不是很清楚吗
ntdll.KiFastSystemCall
2009-8-18 16:44
0
雪    币: 53
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我悟了!哥!我爱你!我看眼花了!
2009-8-18 17:10
0
雪    币: 251
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
in your system 7FFE0300 point to ntdll.KiFastSystemCall,
but itself is not.

trying to install linux, no chinese input method
2009-8-18 17:38
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
7
囧,我本来想回的,但暮然发现后面就写着
2009-8-18 17:52
0
雪    币: 53
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
I got it,
so... I can use GetProcAddrees(or do sth like the api) to get the addr of KiFastSystemCall,can I?

thank all of you
2009-8-19 11:28
0
游客
登录 | 注册 方可回帖
返回
//