一个非常简单的方法就能取到 子程序的真实地址,还用啥 汇编、API。。。。。
取子程序地址(&子程序) 这种子程序指针取到的并不是子程序真实的地址。
为啥要取子程序真实地址? 比如我需要 HOOK 某个地址, 如果我用的不是子程序真实地址,堆栈平衡就不好搞了。
原理:
每个子程序开头都是
push ebp
mov ebp,esp
只要判断 前3个字节,就能取到子程序的真实地址,用OD看一下就知道了。
原理:没有文本型参数的,子程序真实地址一般是在第一个call,有一个文本型参数的,子程序真实地址是在第二个call,有两个文本型参数的,子程序真实地址是在第3个call,以此类推。
相比较我写的,这种汇编写的 代码就少了很多。。很多
上一篇 笑郭网络验证完整版