修改ebp带来的问题一例

最新推荐文章于 2021-11-20 22:25:16 发布
最新推荐文章于 2021-11-20 22:25:16 发布
阅读量1.3k 收藏
点赞数
分类专栏: windows开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joeleechj/article/details/8449123
版权
一般情况下我们很少去修改ebp,即使使用汇编也只是用到eax 、ebx等几个通用寄存器,ebp和esp都是让编译器自动安排的。但有时ebp的修改就成为必须,如进行inline hook的时候,这时就要小心因为ebp的修改而带来的bug,以下为示例代码: NTSTATUS My_PsCreateSystemThread(
摘要由CSDN通过智能技术生成

        一般情况下我们很少去修改ebp,即使使用汇编也只是用到eax 、ebx等几个通用寄存器,ebp和esp都是让编译器自动安排的。但有时ebp的修改就成为必须,如进行inline hook的时候,这时就要小心因为ebp的修改而带来的bug,以下为示例代码:

 

NTSTATUS My_PsCreateSystemThread(                                                                       

                            _Out_      PHANDLE ThreadHandle,
                            _In_       ULONG DesiredAccess,
                            _In_opt_   POBJECT_ATTRIBUTES ObjectAttributes,
                            _In_opt_   HANDLE ProcessHandle,
                            _Out_opt_  PCLIENT_ID ClientId,
                            _In_       PKSTART_ROUTINE StartRoutine,
                            _In_opt_   PVOID StartContext
                           )
{
    char *FuncAddr = NULL;
    UNICODE_STRING UniCodeFunctionName;
    NTSTATUS ntStatus = STATUS_SUCCESS;

    RtlInitUnico

最低0.47元/天 解锁文章
joeleechj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
类库hook类库 实现各种类库
11-21
各种hook方法,加滤镜,亲测好用的哦!!!! //.................例子.................. // XLIB::CXHookAPI m_HookMessageBox; // // //新的函数 // int WINAPI myMessageBox( // HWND hWnd, // LPCSTR lpText, // LPCSTR lpCaption, // UINT uType // ) // { // //调用源函数 // return m_HookMessageBox.CallFunction( 4,0,"hook后",lpCaption,uType ); // } // // //过虑函数 // VOID __cdecl filter( XLIB::CStack_ESP* pStack ) // { // printf("0xx\n",pStack->GetReturnAddress()); // printf(" argu2 = %s\n",pStack->GetArgument(1)); // } // // int _tmain(int argc, _TCHAR* argv[]) // { // // // LPVOID lpAddr = XLIB::CXHookAPI::GetAddressByNameA( "user32.dll","MessageBoxA"); // // //inline hook测试 // MessageBoxA( 0,"hook前",0,0); // m_HookMessageBox.InlineHookFunction( lpAddr,myMessageBox ); // // //你在这里,还可以hook输出表,或者输入表等 // //m_HookMessageBox.HookImportTable( GetModuleHandle(0),"user32.dll","MessageBoxA",myMessageBox); // // //过滤测试 // //m_HookMessageBox.InlineHookAddress( lpAddr,filter); // // MessageBoxA( 0,"hook前",0,0); // // system("pause"); // return 0; // }
逆向基础:汇编(堆栈相关、修改EIP(pc)、函数)
lm19770429的专栏
10-16 277
每个进程有一个4GB的内存
win32 汇编基础概念整理
u011555996的博客
05-03 1419
一、关于寄存器 寄存器有EAX,EBX,ECX,EDX,EDI,ESI,ESP,EBP等,似乎IP也是寄存器,但只有在CALL/RET在中会默认使用它,其它情况很少使用到,暂时可以不用理会。 EAX是WIN32 API 默认的返回存放处。 ECX是LOOP指令自动减一的寄存器。 ESP是堆栈指针。 EBP经常用来在堆栈中寻址。 ESI好像常常用在指针寻址中,EDI不大清楚。
shellcode之一:栈溢出
AZURE
01-22 5061
前言:现在我是嵌入式软件开发者,大学本科读的是电子信息专业,正常的来说不会与入侵、漏洞利用什么的打交道。只是大一时心血来潮用工具进入了另外一台电脑。其实这些也无关重要,重要的是我从那台电脑上down了第一部A片。不出意外的话,那台电脑应该属于女生的,因为那个IP段是女生楼那边的。后来我就可以很笃定的跟别人说:女生也是要看A片的。后来又用工具入侵了更多的局域网电脑,甚至学校一些社团的服务器。再后来,
优化汇编例程(6)
wuhui_gdnt的专栏
06-06 557
6. 使用内联汇编 内联汇编是把汇编代码放入一个C++文件的另一个方法。关键字asm或_asm或__asm或__asm__告诉编译器这个代码是汇编。对内联汇编,不同的编译器有不同的语法。不同的语法解释如下。 使用内联汇编的好处有: 它很容易与C++结合。 定义在C++代码中的变量与其他符号可以从汇编代码访问。 仅不能以C++编写的代码使用汇编编写。 所有汇编指令都可用。 生成的代码就...
mistletoe-ebp-master_PURE_ebp_
10-03
This is a version of mistletoe maintained by the Excutable Book Project (EBP). It tracks the myst branch of ExecutableBookProject/mistletoe which eventually it is hoped will be merged into mistletoe ...
esp和ebp跟踪记录
10-17
push ebp mov ebp,esp
ExpectationBackpropagation-EBP_Matlab_Code
最新发布
08-09
在机器学习领域,反向传播算法(Backpropagation Algorithm)是训练神经网络最常用的优化方法之一,而期望传播(Expectation Backpropagation, EBP)是对反向传播算法的一种扩展,尤其适用于处理隐含变量的概率模型...
通过EBP EIP来找函数调用堆栈
11-06
总的来说,理解和利用EBP和EIP找寻函数调用堆栈是深入分析程序行为的关键技能,它可以帮助开发者和逆向工程师追踪代码执行路径,诊断问题,甚至对恶意软件进行分析。在实际应用中,结合其他调试工具和知识,如内存...
Error: The type of the peer is not EBGP的解决方式
cenjeal的博客
07-04 1284
在进行BGP网络拓扑图搭建的时候,需要对bgp区域进行划分,不同的区域连接要用EBGP协议。 如下图所示,出现如下错误是因为区域划分错误所导致的,此时只需要把命令peer 3.3.3.3 as-number改成peer 3.3.3.3 as-number 200就能解决问题。 ...
C++中volatile的作用
热门推荐
姜亚轲的博客
07-08 1万+
代码编译环境:Windows7 32bits+VS2012。 volatile是“易变的”、“不稳定”的意思。volatile是C的一个较为少用的关键字,它用来解决变量在“共享”环境下容易出现读取错误的问题。 1.volatile的作用 定义为volatile的变量是说这变量可能会被意想不到地改变,即在你程序运行过程中一直会变,你希望这个被正确的处理,每次从内存中去读这个,而不是因编译器...
miracl函数库的使用中存在的问题
weixin_45748968的博客
11-20 911
1.miracl库的下载,内附下载库的百度网盘 2.按照上述链接步骤进行操作。但是在----重新生成阶段遇到问题 一堆这种问题------无法打开包括文件: “miracl.h”: No such file or directory 1>mralloc.c 解决方法:如该文章中的解决方案 3.达到的效果:问题被解决了,但是一堆类似警告------warning C4731: “mr_sdiv”: 框架指针寄存器“ebp”被内联程序集代码修改(不管了,能解决就行) 可能生成静态库的时候出了点问题,所以我
内嵌汇编的语法
dadaguo3000的专栏
12-31 750
<br />在gcc中,可以使用__asm__表示后面的代码为内嵌汇编代码,__volatile__表示编译器不要优化代码,后面的指令保留原样,内嵌汇编语法如下:<br />__asm__(汇编语句模板:输出部分: 输入部分: 破坏描述部分) <br />1.汇编语言模板<br />语句之间使用";"、"/n"或"/n/t"分开。指令中的操作数可以使用占位符引用C语言变量,操作数占位符最多为10个,名称如下:<br />%0,%1,...,%9 <br />指令中使用占位符表示的操作数,总被视为long型(
c内嵌汇编
autumn20080101的专栏
06-03 608
#include "stdio.h" #include "conio.h" short pow_16(short a, short b)算的是a*2^(b-1). { short result; --b; __asm{ mov ax, a; mov cx, b; s: add ax, ax;
SAP SRM高级EBP配置宝典:全面教程
《SAP SRM高级EBP实战指南》是一本专为初学者设计的关于SAP SRM (SAP Supply Relationship Management) 和 EBP (End-to-End Business Process) 配置的实用手册。作者Jim Stewart以其丰富的经验,详尽地介绍了SAP SRM...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值