- 注册时间
- 2011-3-10
- 最后登录
- 1970-1-1
该用户从未签到
|
比如一个被做过 SSDT HOOK 的 NtOpenProcess 当前的反汇编代码为
f8bee312 55 push ebp
f8bee313 8bec mov ebp,esp
f8bee315 51 push ecx
f8bee316 c745fc00000000 mov dword ptr [ebp-4],0
f8bee31d 8b4514 mov eax,dword ptr [ebp+14h]
f8bee320 8b08 mov ecx,dword ptr [eax]
我想用 inline hook 的方法来跳回原NtOpenProcess的地址。该怎么做呢?
一般 inline hook 都是头5个字节,而这个被 HOOK的函数只有4个字节,请哪位大侠赐教。实在感谢了。说思路也可以。但最好上几行代码。跪谢。。 |
|