关于hook跳转的问题!

kongling12 2009-09-21 10:08:31
TImportCode = packed record
JumpInstruction : Word; // 应该是$25FF,JUMP 指令
AddressOfPointerToFunction: PPointer;// 真正的开始地址
end;
他hook的是messagebox 为什么是$25FF呢? 有什么特殊的含义么?
...全文
122 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
cnzdgs 2009-09-21
  • 打赏
  • 举报
回复
ff 25是指令的操作码。
killbug2004 2009-09-21
  • 打赏
  • 举报
回复
FF25 00204000 JMP DWORD PTR DS:[<&user32.MessageBoxA>] ; user32.MessageBoxA

FF25是跳转指令的操作码,这个应该是IAT hook,导入表钩子

因为一般的程序生成的IAT跳表都是这种格式,看一下PE文件的导入表与IAT就知道了



kongling12 2009-09-21
  • 打赏
  • 举报
回复
为了结贴 回答就给分!

21,453

社区成员

发帖
与我相关
我的任务
社区描述
汇编语言(Assembly Language)是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言,亦称为符号语言。
社区管理员
  • 汇编语言
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧