设为首页收藏本站

切换到窄版

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 › 置顶区 › WINDOWS核心编程 › 另外一种Win64 Kernel Inline Hook跳转方式

返回列表发新帖

查看: 7029|回复: 4

另外一种Win64 Kernel Inline Hook跳转方式

火.. [复制链接]

857 主题	2632 回帖	2 精华

此生无悔入华夏，　　长居日耳曼尼亚。　　

积分: 36130

发表于 2012-3-6 21:58:41 | 显示全部楼层 |阅读模式

我之前一直用的是：

mov rax, 地址
jmp rax

复制代码

现在觉得修改了RAX的值不太好，改成：

jmp qword ptr [本指令结束后的8个字节]
绝对地址

复制代码

机器码是：

FF 25 00 00 00 00 XX XX XX XX XX XX XX XX

复制代码

把【XX XX XX XX XX XX XX XX】改成你要跳转到的绝对地址即可。

我的一些与WINDOWS驱动开发相关的PoC（列表）

回复

0 主题	126 回帖	0 精华

积分: 226

发表于 2012-3-7 01:43:08 | 显示全部楼层

沙發下 LZ真牛{:soso_e100:}

回复 

17 主题	89 回帖	0 精华

积分: 250

发表于 2012-3-7 16:46:27 | 显示全部楼层

友情帮顶。

回复 

0 主题	7 回帖	0 精华

积分: 52

发表于 2012-5-22 17:05:10 | 显示全部楼层

很有幫助，謝謝分享

回复 

7 主题	414 回帖	1 精华

积分: 2173

发表于 2013-4-11 07:32:12 | 显示全部楼层

M收下先

回复 

返回列表发新帖

快速回复 返回顶部 返回列表