Цитата:
Сообщение от ALF
То есть просто потом jmp [Original]?
А как тут получить параметр.. А именно айди пакета.
|
1) jmp на функцию, объявленную так же как и перехватываемая (у которой будет один параметр - указатель на пакет)
2) в своей функции надо сразу сохранить содержимое ecx
3) перед вызовом оригинала восстановить переписанные 5 байт (джамп) запихнуть с ecx то что оттуда сохраняли, и уже теперь вызывать оригинал
4) снова поставить хук (так как для вызова мы его снимали)
зы: тут нету волшебных 5 байт в начале ф-ии которые можено переписать без последствий