JMP指令转换公式推导

看完郁金香第020课总结：

同样的一句指令 JMP 88881234在不同位置有以下现象

 

找规律：

88881234 - 010073bb = 87879E79

88881234 – 010073c0 = 87879E74

88881234 – 010073c5 = 87879E6F

因为机器码 如E9 749e8787 是按字节排列的所以87879E74显示出来是749e8787

 

所以可得以下公式

JMP的地址(88881234) – 代码地址(010073bb) – 5（字节） = 机器码跳转地址(E9 87879e74)

 

typedef struct _JMPCODE

{

 BYTE E9;

 ULONGJMPADDR;//88881234=B

}JMPCODE,*PJMPCODE

 

 

应用：

跳过ssdt_hook

例如：NtOpenProcess 被hook 真正的地址为 0xAAAAAAAA（old） ，hook之后的地址为0xBBBBBBBB(cur)。

那么我们可以修改0xBBBBBBBB里的内容，内容为一条JMP指令。以达到绕过ssdt_hook的目的。

 

//jmp结构typedef struct _JMPCODE{ BYTE E9; ULONGJMPADDR;//88881234=B}JMPCODE,*PJMPCODE//定义jmp结构JMPCODE JCode;JCode.E9=0xE9;  //jmp机器码JCode.JMPADDR=cur-old-5;//计算JMP 后面的数值_asm{        mov ebx,cur  //取当前地址     lea  ecx,Jcode //取结构地址     mov ax,byte ptr [ecx]      Mov byte ptr[ebx],ax //写jmp     mov eax,[ecx+1] //移动指针     mov [ebx+1],eax //写跳转}

 

出处：http://www.cnblogs.com/zhangdongsheng/

作者：张东升 QQ:290387340