还原SSDT出现乱码 求内核编程高手进来帮忙!!
在本机测试蓝屏。。。
不知何解。。。求高手帮忙看看我哪里错了?
[解决办法]
在0x805c24B7处,原来的push指令是3字节,你修改后的jmp指令是5个字节。
这就导致把接下来那条805c24ba e88bfefeff call nt!ObOpenObjectByPointer指令的前两个字节也覆盖了。
于是反汇编引擎接着解析call指令剩下的3个字节 fe fe ff及其随后的代码。
玩inline hook,连指令长度都不注意计算,这怎么行。。。当然可能出现乱码。。。。。
[解决办法]
等列宁吧、。。。
[解决办法]
mov eax,dword ptr [hook!dwRetAddress (f7cf161c)]
是把dwRetAddress 的值放到eax
lea eax,dwRetAddress 才是取地址
