看完郁金香第020课总结:
同样的一句指令 JMP 88881234在不同位置有以下现象
找规律:
88881234 - 010073bb = 87879E79
88881234 – 010073c0 = 87879E74
88881234 – 010073c5 = 87879E6F
因为机器码 如E9 749e8787 是按字节排列的所以87879E74显示出来是749e8787
所以可得以下公式
JMP的地址(88881234) – 代码地址(010073bb) – 5(字节) = 机器码跳转地址(E9 87879e74)
typedef struct _JMPCODE
{
BYTE E9;
ULONGJMPADDR;//88881234=B
}JMPCODE,*PJMPCODE
应用:
跳过ssdt_hook
例如:NtOpenProcess 被hook 真正的地址为 0xAAAAAAAA(old) ,hook之后的地址为0xBBBBBBBB(cur)。
那么我们可以修改0xBBBBBBBB里的内容,内容为一条JMP指令。以达到绕过ssdt_hook的目的。
//jmp结构 typedef struct _JMPCODE { BYTE E9; ULONGJMPADDR;//88881234=B }JMPCODE,*PJMPCODE //定义jmp结构 JMPCODE JCode; JCode.E9=0xE9; //jmp机器码 JCode.JMPADDR=cur-old-5;//计算JMP 后面的数值 _asm { mov ebx,cur //取当前地址 lea ecx,Jcode //取结构地址 mov ax,byte ptr [ecx] Mov byte ptr[ebx],ax //写jmp mov eax,[ecx+1] //移动指针 mov [ebx+1],eax //写跳转 }
