因为不太熟悉发帖格式,导致发帖后多次修改,麻烦审核了!
{:5_117:}此源码只支持64位编译;是否添加支持32位的编译? 吃麻花麻花疼 发表于 2024-5-12 21:56
32位只需要更改获取ntdll部分的基址偏移与syscall时使用的寄存器就OK了,我写的属于简化版的Hell'sGate, ...
是的。对于32位,获取ntdll的基址,可以通过声明裸函数,然后写内联汇编解决。我还差的是mysyscall32.asm的实现。我用xDbg对比了64位和32位的调用,发现32位的不一样:虽然获取到了ntdll的基址,但是获取NtCreateThreadEx的序列号失败。要不你花时间试试?Hell'sGate的原项目也是缺少32位的实现。我查了资料,64位的是syscall,32位的貌似是int 80h…… emmmm,等我把你这文章研究明白了我去请教一下恒,问问遇到这种情况又有何种逆向思路 {:5_116:}感谢大佬的资源{:5_116:}
页:
[1]