http://blog.csdn.net/x44348428/archive/2009/08/21/4471353.aspx
中的关于API hook的例子,我想知道其中
   JumpItn: Word; // 应该是$25FF,JUMP 指令     JmpCode: ShortInt; {指令,用$E9来代替系统的指令}  $25FF和$E9是随便取的吗?还是有固定值的

解决方案 »

  1.   

    原来在1个HOOk api的例子里面看见过这个东西,  不过有点区别E8 和E9  段内跳转,段间跳转.....
      

  2.   

    查不到资料? 不可能吧..........$25FF转:其中JmpPtr保存的是导入表地址,在Delphi中可以用$25FF表示。这个值的来源,可以自己反汇编调试得到。在Call API的时候,跟踪即可,如下所示:@@ PUSH 0 
    @@ MOV EAX,123
    @@ CALL EAX 
    @@ POPFD 
    @@ POPAD 
    @@ FF25 5D108000 JMP DWORD PTR DS:[EBP]+4A
    @@ NOP注意红色的那句,将最前面那个导入表的地址,高低位互换即可。接下来实现两个方法,一个是用于得到真实API的地址,另一个用于将自定义的函数替换掉APIgoogle中搜索 hook $25FF 资料多的很.......只是你没发现而已......