frida 请问我这哪里错了为啥崩了

tututututu · 发表于 2024-2-14 15:06

script = session.create_script("""
const CreateProcessPtr = Module.getExportByName('Kernel32.dll','CreateProcessA');
const CreateProcess = new NativeFunction(CreateProcessPtr, 'bool', ['pointer','pointer','pointer','pointer','bool','int32','pointer','pointer','pointer','pointer']);
Interceptor.replace(CreateProcessPtr,new NativeCallback((lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,dwCreationFlags,lpEnvironment,lpCurrentDirectory,lpStartupInfo,lpProcessInformation)=>{
      const result = CreateProcess(lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,dwCreationFlags,lpEnvironment,lpCurrentDirectory,lpStartupInfo,lpProcessInformation);
      return result;
},'bool', ['pointer','pointer','pointer','pointer','bool','int32','pointer','pointer','pointer','pointer']));
""")

萌萌嗒的小白 · 发表于 2024-2-14 15:50

你这是替换这个地址么

tututututu · 发表于 2024-2-14 15:54

萌萌嗒的小白发表于 2024-2-14 15:50
你这是替换这个地址么

我要拦截某些进程的创建

tututututu · 发表于 2024-2-14 15:56

萌萌嗒的小白发表于 2024-2-14 15:50
你这是替换这个地址么

你这样hook只能改参改返回结果不能让函数不执行了

lichao890427 · 发表于 2024-2-14 15:59

有可能是调用约定造成的

萌萌嗒的小白 · 发表于 2024-2-14 16:13

tututututu 发表于 2024-2-14 15:56
你这样hook只能改参改返回结果不能让函数不执行了

return 0

tututututu · 发表于 2024-2-14 16:18

萌萌嗒的小白发表于 2024-2-14 16:13
return 0

有些进程我要允许他创建不能直接返回0全部不准创建

tututututu · 发表于 2024-2-14 17:06

lichao890427 发表于 2024-2-14 15:59
有可能是调用约定造成的

请问怎么解决

tututututu · 发表于 2024-2-15 11:12

lichao890427 发表于 2024-2-14 15:59
有可能是调用约定造成的

感谢确实是调用约定的问题

帐号		自动登录	找回密码
密码			注册[Register]

[已解决] frida 请问我这哪里错了 为啥崩了

[已解决] frida 请问我这哪里错了为啥崩了