在nt!*API中, 有些入口地址处附近有5个字节的JMP代码. 用FOLLOW_JMP宏可以算出JMP到的绝对地址.
#define FOLLOW_JMP( JMPADDR ) ((ULONG)(JMPADDR) + 5 + *(ULONG*)((ULONG)(JMPADDR) + 1))
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
