帮助防止反汇编技巧内挂钩函数


0

我想了解一个程序在Win32 API函数ZwWriteVirtualMemory中安装的钩子。

看来,一个指令中的jmp被使用,我无法修复它能够继续我的分析。

任何帮助,将不胜感激!

enter image description here

enter image description here

2

这里没有混淆,这是一个相当标准的跳转到一个固定的地址。

其分解:

FF 25 00 00 00 00  ; jmp qword ptr [rip] 
68 01 4A 00 00 00 00 00 ; dq 00000004A0168h 

第一个指令说要阅读RIP值,然后跳转到该地址。由于RIP已经超出指令的末尾,所以数据值在跳转后的8个字节中(恰好为值0x4A0168)。所以接下来执行的代码就在那个虚拟地址上。

+1

跳转后的值是小尾数?我怎么能轻易地告诉IDA跟随跳跃? 02 12月. 172017-12-02 10:41:09