フックされた関数の中のアンチディスアセンブルトリックのヘルプ


0

Win32 API関数ZwWriteVirtualMemory内のプログラムによってインストールされたフックを理解しようとしています。

命令内のjmpが使用されており、分析を続行できるように修正できなかったようです。

これについてのお手伝いをさせていただきますようお願い申し上げます。

enter image description here

enter image description here

2

ここには難読化は、それが固定アドレスにかなり標準的なジャンプで、ありません。それを破壊

FF 25 00 00 00 00  ; jmp qword ptr [rip] 
68 01 4A 00 00 00 00 00 ; dq 00000004A0168h 

最初の命令は、RIPで値を読み、そのアドレスにジャンプすると言います。 RIPは命令の最後を過ぎて既に進んでいるので、データ値はジャンプの後の8バイト(0x4A0168という値になる)にある。したがって、次に実行するコードはその仮想アドレスにあります。

+1

ジャンプの後の値はリトルエンディアンですか? IDAにジャンプに従うように簡単に伝える方法はありますか? 02 12月. 172017-12-02 10:41:09