[求助]在线求助！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]在线求助！

发表于: 2011-12-3 13:22 3663

[求助]在线求助！

mistyes

2011-12-3 13:22

3663

地址             二进制    汇编
805CC642 E8 CFF1F731  call B254B816
805CC647 EB DE jmp 805CC627
805CC649 8D45 E0 lea eax, [ebp-20]
805CC64C 50 push eax

这个是NtOpenProcess的内部，805cc642处本来调用的是PslookupProcessByProcessId函数，但是被hook到了B254B816这个函数去了，用KD改回去后电脑自动重启，只有在B254B816内部跳转到PslookupProcessByProcessId才行。
问题：怎么获得它调用的函数的首地址，也就是B254B816这个地址？不知道函数名，用工具能看到地址，重启后地址每次都在变化。
   或者怎么得到805cc642这连续5个地址的机器码，也就是E8 CFF1F731

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

#系统底层

收藏・0

免费・0

支持

最新回复 (2)
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 2 楼断点。 2011-12-3 16:44 0
foxyu 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	foxyu 3 楼话说，如果B254B816内部如果有校验...... 2011-12-3 17:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mistyes

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 2 楼断点。 2011-12-3 16:44 0
foxyu 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	foxyu 3 楼话说，如果B254B816内部如果有校验...... 2011-12-3 17:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复