汇编

Bong

他原来的是这样
1：cdq
mov [ebx],eax
mov [ebx+04],edx
2：******

我把这段改成 jmp 跳转到我申请的内存 然后我申请的内存里面的代码 也是这一段
cdq
mov [ebx],eax
mov [ebx+04],edx
然后我在从我的内存这边 跳过来 jmp 2 继续执行

等于说 就是把这段代码换个地方运行 并且什么都没改。一点都没改动。
但是这样会崩溃。我不知道为啥。 按我的理解  不是 jmp 跳过去 在 jmp 跳回来。没有影响任何东西吗？为啥会崩溃。求助一下。我不是很懂汇编这块在学习

qq793359277

调试器里单步跟踪一下就知道了，检查是不是破坏掉了执行结构，你没图，不过我猜可能是，不过也有其他可能，都要自己检查，比如可能你申请的内存地址属性只有读写并没有可执行，也会崩溃。汇编代码不一定是一行一 行按序执行，如果上面刚好有跳转跳下来，而目标地点刚好被你上面一行的JMP填充了5字节，破坏掉了汇编，就会出现这种情况
比如这是正常的代码 有一个跳转要跳到C1处



你在BE处通过JMP跳走了 因为需要5字节 就 把下面的字节给吞了 C1地址就被BE处吃掉了 上面的JMP跳到C1 就会执行错误的汇编 自然会崩溃   




跳到C1处就变成了这样





一般来说 不应该选择在这种地方HOOK 如果硬要在BE这里  那A1处就需要JMP到push ebx  (0x02280003处) 原来A1跳到哪条汇编语句上 就要改到那句语句的新位置上

wqefqwf

打个比喻

补充内容 (2023-3-15 16:17):
他是个 如果真 你把他改为如果假了也就是 jmp跳转 但是如果真下边的代码一已经调用不到了 你在jmp跳转回来也是没用得

wqefqwf

wqefqwf 发表于 2023-3-15 16:15
打个比喻

补充内容 (2023-3-15 16:17):

也有可能是检测到你暴力修改数据了

Bong

wqefqwf 发表于 2023-3-15 16:15
打个比喻

补充内容 (2023-3-15 16:17):

不对不对 我并没有改变代码 我只是让他的运行转了个弯
比如正常的是
1
2
3
我弄成了
1
  2
3
转了个弯
实际上没变动代码的。除非jmp这个命令会更改某些东西。但我百du他说jmp没有动其他东西

nice123456

跳对了吗

Bong

nice123456 发表于 2023-3-15 17:17
跳对了吗

跳转地址没问题 跳过去跳回来的地址我都检查过的 保证正确。 有没有 就是进程会检查代码的情况？比如他检测到他这段代码和原来不一样了。 虽然功能没变过

nice123456

短跳转（Short Jmp，只能跳转到256字节的范围内），对应机器码：EB
近跳转（Near Jmp，可跳至同一段范围内的地址），对应机器码：E9
远跳转（Far Jmp，可跳至任意地址），对应机器码： EA
用的是远跳吗？

Bong

nice123456 发表于 2023-3-15 17:25
短跳转（Short Jmp，只能跳转到256字节的范围内），对应机器码：EB
近跳转（Near Jmp，可跳至同一段范围内 ...

对 jmp [0x0]

Bong

qq793359277 发表于 2023-3-16 06:28
调试器里单步跟踪一下就知道了，检查是不是破坏掉了执行结构，你没图，不过我猜可能是，不过也有其他可能， ...

我也不知道咋回事 是权限还是什么问题。
然后我把 权限 加上了 执行。并且把jmp换成 call了过后 就没出问题了。