-
-
帮我看看,这个HOOK逻辑咋弄行吗
-
发表于:
2016-2-21 13:43
4496
-
ZwDeviceIoControlFile函数头
77A4F90C > B8 04000000 mov eax,0x4
77A4F911 |. B9 1B000000 mov ecx,0x1B
77A4F916 |. 8D5424 04 lea edx,dword ptr ss:[esp+0x4]
77A4F91A |.
64:FF15 C0000>call dword ptr fs:[0xC0]
77A4F921 |. 83C4 04 add esp,0x4
77A4F924 \. C2 2800 retn 0x28
在 call dword ptr fs:[0xC0]指向地址 EA 1E274074 330>jmp far 0033:7440271E这 hook
问题是:怎么过滤一下eax,如果是4 或者 aa这些就hook,其他的就正常返回
逆向别人的看到这样过滤的,[eax*4+0x557960]这里保存的自己的函数逻辑地址
75253520 60 pushad
75253521 9C pushfd
75253522 833C85 60795500>cmp dword ptr ds
:[eax*4+0x557960],0x0
7525352A 74 0C je short wow64cpu.75253538
7525352C 9D popfd
7525352D 61 popad
7525352E 83C4 04 add esp,0x4
75253531 FF2485 60795500 jmp dword ptr ds
:[eax*4+0x557960]
75253538 9D popfd
75253539 61 popad
7525353A ^ FF25 2C795500 jmp dword ptr ds:[0x55792C] ; //75252329
我想知道ds:[eax*4+0x557960]过滤逻辑是怎么弄的。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
