约有 5 项符合查询结果, 以下是第 1 - 1项。
费时 < 1 秒。
第一行应该是
char PushCode[ 6 ] = ''\x68\x00\x00\x00\x00''; // push 0
不知道怎么给替换成图标了
Posted in Windows内核调试
by
icecools
on 2009-04-02
楼上,贴上程序,给你参考下
char PushCode<img src=''/emoticons/emotion-14.gif'' alt=''Devil [6]'' /> = ''\x68\x00\x00\x00\x00''; // push 0
char CallCode[9] = ''\xBA\xF0\xF0\xAD\xDE'' // 0 - MOV EDX, 0xdeadf0f0 (address of remote function)
''\xFF\xD2'' // 5 - CALL *EDX
''\xCC''; // 7 - int3
const ...
Posted in Windows内核调试
by
icecools
on 2009-04-02
谢谢Raymond.
我参考了网上另一种方法实现了一下,大体为先GetOffsetByName得到函数地址,然后在target上分配一块内存,拼一段调用此函数的代码,执行后int 3返回调试器,调了一下可以工作
Posted in Windows内核调试
by
icecools
on 2009-03-31
我自己写了一个windbg的extension,里面需要调用被调试程序的一个函数来显示东西,但我没有找到相应的函数,只看到在windbg里的.call可以,但是写程序怎么实现啊?
比如我有个函数Func1(void* p)
我用fun = GetExpression (''Fun1'')得到函数地址,然后用
GetExpression(args)得到我传的参数的地址,然后con = ReadMemroy得到此地址的值,后面调用
fun(con)的时候总是出错,大家有啥办法吗?谢谢!
Posted in Windows内核调试
by
icecools
on 2009-03-26