ring3下搞这个位置实在没意义啊~

代码总共没几行，有心人完全自己实现都可以

我想说的是
菜鸟很多时候是在做无意义的事情
感谢achillis的回复　除了能压制一下我学习的热情外　实在没有别的任何用处..

7C92EB8B >  8BD4                   mov edx,esp
7C92EB8D    0F34                   sysenter
7C92EB8F    90                     nop
7C92EB90    90                     nop
7C92EB91    90                     nop
7C92EB92    90                     nop
7C92EB93    90                     nop
7C92EB94 >  C3                     retn

我的怎么有NOP呢？我是XP sp2

我无意压制你的热情，那就说点有用的吧~
从你给的地址来看，7C92E510是KiFastSystemCall,7C92E514是KiFastSystemCallRet
这两个地址是固定的，都写在SharedUserData里面，也就是7FFE0000这块内存里，无法修改
但是这两个地方的指令都是可以改的啊，思想灵活一点~~
jmp有5个字节，太长，但是可以用短跳啊(2个字节)，跳到一个比较近的地方(还是在ntdll里面，离KiFastSystemCall不远，找一个是NOP的地方),然后再跳一次到你的hook函数，二级跳，明白？
返回时，系统会固定地返回到7C92E514这个地址(也就是KiFastSystemCallRet)，这地方本来是个retn指令，但是你可以改成jmp什么的，随便你~~
我以我的系统为例，给你作个简单例子：
(在我的系统上，7C92EB8B是KiFastSystemCall,7C92EB94是KiFastSystemCallRen)
7C92EB8B > /EB 13                  jmp short ntdll.7C92EBA0 //先来个短跳
7C92EB8D   |0F34                   sysenter
7C92EB8F   |90                     nop
7C92EB90   |90                     nop
7C92EB91   |90                     nop
7C92EB92   |90                     nop
7C92EB93   |90                     nop
7C92EB94 >-|E9 DF6AAD83            jmp GetSyste.00405678 //sysenter会返回到这里，把retn改为jmp
7C92EB99   |90                     nop
7C92EB9A   |90                     nop
7C92EB9B   |90                     nop
7C92EB9C   |8D6424 00              lea esp,dword ptr ss:[esp]
7C92EBA0   \E8 8F26AD83            call GetSyste.00401234 //这里可以是jmp可以是call,控制权拿到，剩下的随你便，注意栈
7C92EBA5 >^ EB E6                  jmp short ntdll.7C92EB8D //再跳回去执行sysenter,其实可以自己实现，就一句指令嘛
7C92EBA7    90                     nop
7C92EBA8    90                     nop

没什么太难的，特别需要注意的是栈的平衡~~

ps: 平时都用手机上的，今天难得用一次电脑

再强调一下，正常调用时必然走KiFastSystemCall，返回时必然到KiFastSystemCallRet，除了这两个指针不能改，其它都可以~~

热心的achillis,表示支持

呵呵 真心感谢achillis 虽然我也想到了这个方法
但这个方法有个缺陷 就是如果在短跳范围0xFF内没有可用作补丁的地址 那又该怎么办呢~
再次感谢achillis的指点 谢谢~

短跳范围内一般都是可以找到5个nop的，假如真的没有，那么把SEH Handler替换掉，然后只用改一个字节就可以了，0xCC

热心的achillis 受教了 谢谢..

学习.
思考：
1 能不能写个简单的驱动程序，在ring0层修改7ffe3000处内容。
2 自己的hook函数在在用户地址空间，系统空间调用户空间函数，有没有可能出错。

希望看到楼主最后的解决办法和结果。

7C92D92E >/$  B8 AD000000                 mov     eax, 0AD
7C92D933  |.  BA 0003FE7F                 mov     edx, 7FFE0300
7C92D938  |.  FF12                        call    dword ptr [edx]  // call ntdll.KiFastSystemCall
7C92D93A  \.  C2 1000                     retn    10

mov edx,xxxxx[你函数的地址]
hook执行后在你的程序加上mov     edx, 7FFE0300，记得先要pushad、pushfd
再跳到7C92D938 这里执行ntdll.KiFastSystemCall不就可以，为什么不自己在后面写 call    dword ptr [edx] ，也可以，但是还要平衡堆栈，简单点，不用二次短跳