' 全局变量 程序集变量 局部静态变量 文本型 字节集 驱动均不可用
' 文本型 可用于API参数中
' 驱动结构要自己计算,堆栈自己计算 比限制大片还限制
释放内存_ (APC)
原始_NtOpenProcess = 取内核原始地址_NtOpenProcess ()
hook结构.jmp = 233
hook结构.jmp地址 = _取指针地址 (&my_NtOpenProcess) - 原始_NtOpenProcess + 15
' 15 反汇编是计算的出来的,不然堆栈不平衡
关闭写保护 ()
写字节集_Hook结构 (原始_NtOpenProcess, hook结构, 5)
打开写保护 ()
' 置入代码 ({ 204 })'这个断点是用于 bp Nt!NtOpenProcess 下断查看的自己的my_NtOpenProcess
上一篇 最强驱动级检测OD,可以各种测试
下一篇 EXUI自绘DLL劫持工具开源