在研究一个被VM的程序 3.0.x的，发现用自己写的工具写进去jmphook，jmp指令后面的参数会被分开
原本应该是
jmp 11223344
E9 11223344
变成了
E9 11
22
33 44
但是用CE就可以正常写入跳转
初学内存表示很迷惑 这是VM的作用么？
后来发现用call可以做到不被打乱，随即用call和ret代替hook里的jmp
在程序启动的瞬间修改
但是打开程序会崩溃
而且我发现一般hook用的都是jmp
请问大佬们 call能做为jmp使用么？
‘’--------------------------------------------------------------------------------------------------------
刚刚再次测试了一下，发现是我修改时间问题 我需要等他加载后过1秒钟改才行
改了之后就能完美达到jmp的hook效果 真棒
还不用自己苦哈哈的算跳转地址了
‘’--------------------------------------------------------------------------------------------------------
使用过程中发现 过一段时间程序就会崩溃...
‘’--------------------------------------------------------------------------------------------------------
网上找了很多关于CALL的资料 可是其中大部分都只说到了CALL会改变EIP
翻了挺久才翻到一片文章：
604K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6G2K9h3c8U0L8W2)9J5k6h3y4G2L8g2)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6H3i4K6u0V1P5X3c8$3k6$3y4#2N6h3!0Q4x3X3c8T1j5X3u0Q4x3X3g2Z5N6r3#2D9
十分详细 特贴与此 希望能够帮助到有需要的人

[培训]科锐逆向工程师培训第53期2025年7月8日开班！