[原创]绕过函数头INLINE HOOK-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 2 楼做个大沙发,然后学习，膜拜。 2009-9-7 00:00 0
这真不行雪币： 77 活跃值： (17) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 49 粉丝 1 关注私信	这真不行 3 楼顶一个大个的同时弱弱的问一下 inline hook是不是只在驱动级才这么叫？ 2009-9-7 07:39 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 4 楼 inline hook r3也有 2009-9-7 09:03 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 5 楼读的原始文件？ 2009-9-7 09:09 0
绿豆青蛙雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 128 粉丝 0 关注私信	绿豆青蛙 6 楼进来看看，要是在帖子里有个说明原理的就好了 2009-9-7 14:56 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 7 楼看这张图就知道了第一个U 是正常函数的第二个U 是打开冰刃后的第三个U 是驱动里那个20字节用来替代NtTerminateProcess函数的首先定位函数地址转换为文件偏移然后从原始文件读取相应的长度最后加上一个跳转指令跳回去就绕过了函数头inline hook 刚裁图发现代码里有个小错误 NOP 应该是0x90 。。上传的附件： 11.JPG （58.02kb，415次下载） 2009-9-7 15:25 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 8 楼这东西是不是结合PCODE分析就比较稳定点？ 2009-9-7 15:48 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 9 楼看这张图，貌似这个函数有为hotpatch预留的空间开始是 mov edi,edi，用来patch成短跳转上面还应该有5个nop，用来patch成长跳转 2009-9-7 16:08 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 10 楼终于看到兄弟的大作了，力挺 2009-9-8 06:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 2 楼做个大沙发,然后学习，膜拜。 2009-9-7 00:00 0
这真不行雪币： 77 活跃值： (17) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 49 粉丝 1 关注私信	这真不行 3 楼顶一个大个的同时弱弱的问一下 inline hook是不是只在驱动级才这么叫？ 2009-9-7 07:39 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 4 楼 inline hook r3也有 2009-9-7 09:03 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 5 楼读的原始文件？ 2009-9-7 09:09 0
绿豆青蛙雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 128 粉丝 0 关注私信	绿豆青蛙 6 楼进来看看，要是在帖子里有个说明原理的就好了 2009-9-7 14:56 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 7 楼看这张图就知道了第一个U 是正常函数的第二个U 是打开冰刃后的第三个U 是驱动里那个20字节用来替代NtTerminateProcess函数的首先定位函数地址转换为文件偏移然后从原始文件读取相应的长度最后加上一个跳转指令跳回去就绕过了函数头inline hook 刚裁图发现代码里有个小错误 NOP 应该是0x90 。。上传的附件： 11.JPG （58.02kb，415次下载） 2009-9-7 15:25 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 8 楼这东西是不是结合PCODE分析就比较稳定点？ 2009-9-7 15:48 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 9 楼看这张图，貌似这个函数有为hotpatch预留的空间开始是 mov edi,edi，用来patch成短跳转上面还应该有5个nop，用来patch成长跳转 2009-9-7 16:08 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 10 楼终于看到兄弟的大作了，力挺 2009-9-8 06:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复