设为首页收藏本站
开启辅助访问 切换到宽版

看流星社区

 找回密码
 注册账号
看流星社区»看流星社区 » 【会员交流】 编程技术交流 有关HOOK NtOpenProcess的问题!
返回列表 发新帖
查看: 3070|回复: 1

有关HOOK NtOpenProcess的问题!

[复制链接]
bzg99

该用户从未签到
发表于 2011-3-11 09:23:12 | 显示全部楼层 |阅读模式
比如一个被做过 SSDT HOOK 的 NtOpenProcess 当前的反汇编代码为
f8bee312 55              push    ebp
f8bee313 8bec            mov     ebp,esp
f8bee315 51              push    ecx
f8bee316 c745fc00000000  mov     dword ptr [ebp-4],0
f8bee31d 8b4514          mov     eax,dword ptr [ebp+14h]
f8bee320 8b08            mov     ecx,dword ptr [eax]

我想用 inline hook 的方法来跳回原NtOpenProcess的地址。该怎么做呢?
一般 inline hook 都是头5个字节,而这个被 HOOK的函数只有4个字节,请哪位大侠赐教。实在感谢了。说思路也可以。但最好上几行代码。跪谢。。
回复

举报

雨锋林

该用户从未签到
发表于 2011-3-11 09:23:20 | 显示全部楼层
1+2+1+7 = 11
前5个字节HOOK用,后面带6个nop。
Unhook的时候你还原那11个字节就是了。
我是新手,如有不对,请指正
回复 支持 反对

举报

返回列表 发新帖
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-4-24 07:50

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表