代码语言:javascript复制
PVirtualMachine lvm = ghook.init(&ghook); //sizeof(TStringList);//testihook();//SPlog64(2,9);
00007FF64EF1FA7C lea rcx,[_ghook (07FF64F0AD359h)]
00007FF64EF1FA83 call qword ptr [_ghook 148h (07FF64F0AD4A1h)]
00007FF64EF1FA89 mov qword ptr [lvm],rax
lvm->g1m(lvm);
00007FF64EF1FA8D mov rcx,qword ptr [lvm]
00007FF64EF1FA91 mov rax,qword ptr [lvm]
00007FF64EF1FA95 call qword ptr [rax 405Ch] 注意,第一个是直接把地址给了rcx,_ghook实际上是这样声明的地址标记
代码语言:javascript复制 _ghook:
ghook TIHooKing <>
gvm dq 0第二个lvm就是lvm变量了。
gook.init代码是是这样的
代码语言:javascript复制_finit proc ;initialze task
push rbp
mov rbp,rsp
lea rax,_gvm
mov gvm,rax
leave
ret
_finit endp而_gvm实际上是另一个标记:
代码语言:javascript复制 _gvm:
gvm tvm <> 所以,这就是指针的含义。
