ok100fen 发表于 2010-8-30 22:41:07

这个是什么函数?

本帖最后由 ok100fen 于 2010-8-31 16:38 编辑

这个是什么函数?
干什么用的?


3q



__declspec (naked)NTSTATUS __stdcall oVoidOp(OUT PHANDLE ProcessHandle,IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttribtes,IN PCLIENT_ID ClientId OPTIONAL)
{_asm
{
mov edi,edi
   nop
   nop
   nop
   nop
   nop
   nop
   nop
   nop
   nop
   nop
   nop
   nop
      }
}

jiedengye 发表于 2010-8-31 10:09:14

如果你了解hook的话,很容易了解,这是hook中最强悍的跳板函数。__declspec (naked)哈哈

ok100fen 发表于 2010-8-31 11:29:22

跳板函数?
自己写的,还是本来就有的?

马大哈 发表于 2010-8-31 15:43:20

全是空?

难道是一个占足够空间的空函数,在用的时候再临时填写这样?

Tesla.Angela 发表于 2010-9-4 13:35:08

传说中的“裸[河蟹]体”函数:
__declspec (naked)

364589886 发表于 2010-9-8 14:08:55

就是一个没有函数框架的基本不能叫做函数的函数。。。。我还不如直接汇编就OK了。。。。。。。

364589886 发表于 2010-9-8 14:09:48

不过据说因为GCC的作者坚持naked这个是没用的。。。所以GCC不提供这个特性

腾袭 发表于 2010-9-11 09:36:14

貌似这个函数是Xiaoly写的吧……
其实第一句话都可以不要……
从这个函数声明来看,应该是NtOpenProcess的:curse:
然后这个函数其实要先往里写入数据的,比如像jmp xxxx后才能调用的。
具体作用是Inline Hook NtOpenProcess中,先把NtOpenProcess的前5字节写入函数,然后在再把jmp的5字节写进去,然后这就是一个OriNtOpenProcess了
页: [1]
查看完整版本: 这个是什么函数?