|
我用OD发现一个程序A(关键代码见后)在执行完语句“73D3451B E8 D4E0FFFF call <j mp.&msvcrt.memcpy>”后,通过eax返回了一个我比较感兴趣的值,关键代码如下
73D34518 03C8 add ecx, eax
73D3451A 51 push ecx
73D3451B E8 D4E0FFFF call <jmp.&msvcrt.memcpy>
73D34520 8B06 mov eax, dword ptr [esi]
73D34522 83C4 0C add esp, 0C
为了获得这个eax的值,我用OD直接编写了一个函数,实现了将eax的值送到我自己编写的软件B中。也就是说,只要在73D34520处插入一个call语句调用我写的函数,就能将这个值送给软件B了。
但现在的问题是,这个call语句是插不进去的,因为73D34520处的代码在系统ntdll.dll中,修改这个dll是无效的,我试验过。甚至用内存补丁工具dUP编写内存补丁,都行不通.....
《加密与解密》第3版18.2.4 dll劫持技术第三自然段也提到了kernel32.dll, ntdll.dll等核心系统库是不能用dll劫持技术修改的,而我期望得到的数据仅在ntdll.dll中的某个eax指向的数据,跳出ntdll.dll后就再也找不到这个数据了,我必须在ntdll.dll中加入一条call语句来实现对这个数据进行操作,请问大家该怎么办??直接修改系统dll,会带来很多不确定的问题.....不知道各位高人还有没有什么方法来解决这个问题?? |
阿莫论坛20周年了!感谢大家的支持与爱护!!
知道什么是神吗?其实神本来也是人,只不过神做了人做不到的事情 所以才成了神。 (头文字D, 杜汶泽)
|