who is calling me?

最新推荐文章于 2024-07-17 16:24:40 发布
最新推荐文章于 2024-07-17 16:24:40 发布
阅读量612 收藏 1
点赞数
文章标签: null module buffer hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/uvbs/article/details/2788473
版权

   ULONG rip=0xffffffff;
    __asm
    {
            push eax
            mov eax,[ebp+04h]
            mov rip,eax
            pop eax
    }

 

 

DebugString("the module from ebp+04h:%s/n",GetWhoIsCalling(rip));   

 

 

char * __stdcall GetWhoIsCalling(DWORD apiAddr,DWORD pPEB=0)
{
    LDR_MODULE *ldr, *headLdr;
    LDR_MODULE *result = NULL;
   
    if(pPEB==0)
    {
        __asm
        {
            mov  eax, fs:[30h];   // get pointer to PEB from offset 30h into TEB
        }
    }
    else
    {
        __asm
        {
            mov  eax, pPEB;   // get pointer to PEB from arg pPEB
        }
    }
    __asm
    {
        mov  eax, [eax+0ch];   // retrive value from offset 0ch into PEB
        //mov  esi, [eax+1ch];   // get the head pointer to InInitializationOrderModuleList  
        //一般"按初始化顺序"前向遍历链表时,第一个节点对应ntdll.dll,第二个结点对应
        //kernel32.dll,我们不太关心其它模块。如果按加载顺序前向遍历,第一个节点对应
        //EXE文件本身,第二个节点才对应ntdll.dll。
        mov  esi, [eax+0ch];   // get the head pointer to InLoadOrderModuleList  
       
        mov  headLdr, esi;      
    }
    ldr = headLdr;
   
    while(true)
    {
        if(!IsBadReadPtr(ldr->BaseAddress, 4) && !IsBadReadPtr(ldr->BaseDllName.Buffer, 4))
        {
            //printf("BaseDllName: %ws/n",ldr->BaseDllName.Buffer);
            //printf("FullDllName: %ws/n",ldr->FullDllName.Buffer);
            DWORD dllEnd = (DWORD)ldr->BaseAddress + ldr->SizeOfImage;
           
            if(apiAddr > (DWORD)ldr->BaseAddress && apiAddr < dllEnd)
            {
                DWORD nameLen = WideCharToMultiByte(CP_ACP, WC_NO_BEST_FIT_CHARS, ldr->BaseDllName.Buffer, -1, NULL,
                    0, NULL, NULL);   
                if(nameLen)
                {
                    LPSTR buffer = (LPSTR)malloc(nameLen + 1);
                    if(buffer)
                    {
                        WideCharToMultiByte(CP_ACP, WC_NO_BEST_FIT_CHARS, ldr->BaseDllName.Buffer, -1, buffer,
                            nameLen + 1, NULL, NULL);   
                       
                        return buffer;
                    }     
                }
            }
        }
        // get the head pointer to InLoadOrderModuleList
        ldr = (LDR_MODULE *)ldr->InLoadOrderModuleList.Flink;
       
        if(ldr == headLdr)
            break;
    }
    return NULL;
}

一般在HOOK的函数头部CALL GetWhoIsCalling,就能得到调用的模块

 

uvbs
关注
Return arguments from function calling with OpenAI API when streaming?
suiusoar
09-10 1352
在使用OpenAI API进行流式传输时,如何返回函数调用的参数?
Is COM Dead?
tianyu的专栏 - Linux site:blog.youkuaiyun.com/wishfly
01-10 1648
A s I write this, about a month has passed since the Orlando PDC in July 2000. This PDC was easily the best Microsoft conference since the Microsoft® T
C程序设计综合练习-- 综合测验1
yanyangjie的专栏
01-15 1179
1. 题目(Description): 一个人爬楼梯,可以每次迈一个台阶,也可以每次迈两个台阶。输入要爬的台阶数,计算一共有多少种不同的走法。要求:递归实现。 输入(Input): 台阶数 输出(Output): 走法的数量 示例(Sample): 输入(Input): 5 输出(Output): 8 2.
键盘输入一个字符串 a,中的最大元素后边插入另 外输入的字符串 b。
huihuisd的博客
11-21 8638
题目:从键盘输入一个字符串 a,中的最大元素后边插入另 外输入的字符串 b。 分析:第一步要做的是找到最大元素所在的下标,第二步就是将b字符串插入最大元素后面。 代码如下: #include <stdio.h> #include <string.h> int main(){ char a[50],b[]="abc"; scanf("%s",a); i...
Fifth season sixteenth episode,there is a cop who caught Phoebe?????
xiyangxia666hui的博客
12-11 874
[Scene: Chandler and Joey's, Monica and Chandler are sitting on one of the chairs doing a crossword puzzle.] Joey: Hey! Chandler: Hey! Monica: Hey! Joey: What are you guys doing up? Chandler: Oh, we wanted to finish the crossword before we went to bed. Hey
Fifth season twentieth episode,the Ride Along is dangerous?????
xiyangxia666hui的博客
12-16 242
[Scene: Central Perk, Chandler, Rachel, Joey, and Monica are sitting on the couch as Ross is up getting some coffee.] Monica: Okay, guys, listen, don't forget that tomorrow is the day that Emily gets married again, so whatever we do, just try to really kee
OWA_UTIL.WHO_CALLED_ME解析
张陈亚的博客
04-24 2368
说明: 在撰写ETL调度工具时,在往日志表里面写调度日志时,需要写入当前执行的用户名称、执行作业的名称等信息,所以就想到了OWA_UTIL.WHO_CALLED_ME这个过程。 首先,来看一下官网解释: OWA_UTIL.WHO_CALLED_ME Procedure This procedure returns information (in the form of outpu...
first season eighth episode,nana dies twice?Chandler is a gay???
xiyangxia666hui的博客
06-28 5268
[Scene: Chandler's Office, Chandler is on a coffee break. Shelley enters.) Shelley: Hey gorgeous, how's it going? Chandler: Dehydrated Japanese noodles under fluorescent lights… does it get better than this? Shelley: Question. You're not dating anybody,
Fourth season second episode,Pheobe‘s mom is a cat???
xiyangxia666hui的博客
10-30 8889
[Scene: Chandler and Joey's, Joey is eating breakfast as Chandler comes out of his bedroom, ripping his coat in the process.] Chandler: Wow! That ripped! That ripped real nice! Joey: How many times do I have to tell you! Ya, turn and sliiiide! Y'know, turn
php medo,PHP Architecture: How do I do that?
weixin_35125814的博客
03-24 110
2010-02-27 04:24:310I need some help understanding internal workings of PHP.Remember, in old days, we used to write TSR (Terminate and stay resident) routines (Pre-windows era)? Once that program is ...
Why is China angry?
张彤的专栏
05-04 907
China is not happy. In fact China is "mad as hell and is not going to take this any more", to paraphrase a line from Network, the 1976 movie.On closer inspection, its not China in general but five
Langchain[4]:Langchain 0.2革命性突破:结合工具调用与结构化数据处理、@Chain修饰符使用,解决LLM输出难题,提升AI效能
丨汀、的博客
07-17 591
Langchain[4]:Langchain 0.2革命性突破:结合工具调用与结构化数据处理,解决LLM输出难题,提升AI效能
Transformer课程 第7课Gavin BERT文本分类
段智华的博客
12-02 1342
BERT在各种任务中成功的原因在于:Transformer编码器体系结构,以密集向量的形式表示输入,这些向量可以通过非常简单的分类器轻松地转换为输出。本课程以Transformer架构为基石、萃取NLP中最具有使用价值的内容、围绕手动实现工业级智能业务对话机器人所需要的全生命周期知识点展开,学习完成后不仅能够从算法、源码、实战等方面融汇贯通NLP领域NLU、NLI、NLG等所有核心环节,同时会具备独自开发业界领先智能业务对话机器人的知识体系、工具方法、及参考源码,成为具备NLP硬实力的业界Top 1%人才。
Why do we need eventdriven architectures in microservices
AI天才研究院
08-04 1615
作者:禅与计算机程序设计艺术Event-driven architecture is one of the critical architectural patterns that has become increasingly popular among software developers and architects over the past few years. In this article, I will provide a brief overview of what an event-d
基于Django花卉商城系统的设计与实现-2885fb37-.zip
04-16
基于Django花卉商城系统的设计与实现_2885fb37--.zip
102页-智慧农业解决方案.pdf
最新发布
04-16
智慧农业,作为现代农业的新篇章,正引领着农业生产的革命性变革。本解决方案以物联网、云计算、大数据等先进技术为核心,为农业生产打造了一套全面、智能的管理系统。 想象一下,从温室大棚到广袤田野,智能传感器遍布每个角落,它们能实时感知空气温湿度、土壤水分、光照强度等环境参数,仿佛为农作物装上了“眼睛”和“耳朵”。这些数据通过物联网技术传输到云端,经过大数据分析,为农民提供精准的种植建议,如何时灌溉、施肥、防虫,让农业生产变得更加科学、高效。 更有趣的是,通过智慧农业平台,农民可以远程监控作物生长情况,甚至用手机就能控制温室大棚的遮阳板、通风设备等,实现“指尖上的农业”。此外,方案还包含了农产品可追溯系统,从田间到餐桌,每一步都可追溯,让消费者吃得放心。而智慧农业电商平台,则让农产品销售更加便捷,农民直接对接市场,收益倍增。 总之,这套智慧农业解决方案不仅让农业生产变得更加智能、高效,还提升了农产品的质量和安全,为农民带来了实实在在的收益,开启了农业现代化的新篇章。 对于想要投身智慧农业领域的你来说,这不仅仅是一套解决方案,更是一把开启现代农业大门的钥匙,引领你走向更加辉煌的未来。
【人工智能模型部署】DeepSeek本地部署与WebUI可视化:环境搭建、模型启动及界面开发指南文档的主要内容
04-16
内容概要:本文档详细介绍了DeepSeek本地部署与WebUI可视化的一般步骤。本地部署方面,涵盖了环境准备(硬件要求如多核CPU、8GB以上内存或带适当显存的NVIDIA GPU,软件环境涵盖操作系统如Ubuntu 20.04及以上版本、Python环境及依赖库如PyTorch或TensorFlow)、获取DeepSeek模型代码和权重(通过官方仓库克隆代码,从指定渠道下载权重)、模型配置与启动(配置模型参数,运行启动脚本以初始化模型和服务)。WebUI可视化部分则推荐了Streamlit和Gradio两种框架,介绍了它们的安装、使用方法(通过编写脚本调用DeepSeek API构建交互界面),以及集成与部署(确保WebUI与模型服务之间的数据正确传递,在本地运行后可通过浏览器访问)。 适合人群:对深度学习模型部署有一定了解的技术人员,尤其是那些希望将DeepSeek模型应用于本地环境提供用户友好界面的研发人员。 使用场景及目标:①为希望在本地环境中运行DeepSeek模型的研究者或开发者提供详细的部署指南;②帮助用户快速搭建一个带有图形化操作界面的DeepSeek应用,降低使用门槛,提高用户体验。 阅读建议:在阅读时,应根据自己的操作系统环境和硬件条件调整相应的配置要求,同时注意按照官方文档的具体指引操作,确保各组件版本兼容,以便顺利完成部署和可视化工作。
MISRA C 2014和MISRA CPP 2008版本
04-16
MISRA C 2014和MISRA CPP 2008版本
Revit2024二次开发之安装Addin
04-16
Revit2024二次开发之安装Addin
Function Calling是什么?
03-20
<think>好的,用户想了解函数调用(Function Calling)及其工作原理。首先,我需要明确函数调用的定义,可能涉及编程中的基本概念,比如在程序中调用函数来执行特定任务。但根据提供的引用,特别是引用[3]和[4],用户可能更关注AI大模型中的函数调用机制,比如OpenAI的Function Calling功能。 首先,我应该从基础概念入手,解释函数调用在传统编程中的作用,即通过函数名和参数执行特定操作。然后,过渡到AI领域中的函数调用,这里需要结合引用中的内容,说明大模型如何生成函数参数,但不直接执行函数,而是由外部程序处理。这可能涉及到模型如何解析用户请求,判断是否需要调用函数,生成正确的参数格式。 需要区分传统函数调用和大模型中的函数调用的不同之处,比如大模型不执行代码,仅提供参数。同时,结合引用中的步骤,如用户输入、模型判断是否需要函数、处理响应、调用外部函数等流程。可能需要用示例来说明,比如天气查询的场景,模型生成参数,开发者调用天气API。 另外,要引用提供的资料,比如引用[3]提到的tools参数用于向模型提供函数定义,模型生成符合规范的参数。引用[4]讨论的AI大模型缺陷及函数调用如何补充其逻辑能力,赋予模型执行外部功能的能力。 要注意用户可能混淆传统编程和大模型中的函数调用,需要明确两者的区别和联系。同时,确保解释清晰,结构层次分明,分点说明定义、原理、流程、示例和意义。最后生成相关问题,帮助用户深入理解,比如应用场景、优势挑战、与传统调用的区别等。 总结步骤:定义函数调用,分传统和AI两部分;工作原理分步骤说明用户输入到函数执行的过程;举例说明;强调意义和优势;生成相关问题。</think>### 函数调用(Function Calling)及其工作原理 #### 1. 函数调用的定义 **函数调用**在编程中通常指通过函数名和参数执行特定操作的过程。在传统编程中,开发者直接编写代码调用函数,例如: ```python result = add(3, 5) # 调用加法函数 ``` 在 **AI 大模型**场景中,函数调用特指模型根据用户需求生成调用外部工具或 API 所需的参数,而非直接执行代码[^3]。例如,用户询问天气时,模型生成 `{"location": "北京"}` 的参数,开发者再据此调用天气 API[^2]。 --- #### 2. AI 大模型中函数调用的工作原理 **核心流程**可分为以下步骤: 1. **用户输入解析** 模型接收自然语言请求(如“北京今天气温多少?”),分析意图。 2. **函数定义匹配** 开发者预先通过 `tools` 参数向模型描述可用的函数(如 `get_weather(location)`)。模型判断是否需要调用函数。 3. **参数生成** 若需要调用,模型生成符合函数定义的参数(如 `{"location": "北京"}`),但不会执行函数本身。 4. **外部执行与反馈** 开发者根据参数调用外部 API,将结果返回给模型,模型再生成最终回答(如“北京今天 25°C”)[^2]。 **关键特性**: - **逻辑赋能**:弥补大模型无法执行真实逻辑的缺陷(如计算、数据库查询),通过外部函数扩展能力[^4]。 - **安全隔离**:模型仅生成参数,实际执行由开发者控制,避免安全隐患。 --- #### 3. 示例:天气查询场景 ```text 用户输入 → 模型生成参数 → 调用天气 API → 返回结果 ``` - **用户输入**:“上海明天会下雨吗?” - **模型输出**:`{"location": "上海", "date": "2023-10-20"}` - **开发者**:调用天气 API 获取数据,反馈给模型生成回答[^2]。 --- #### 4. 意义与优势 - **动态扩展能力**:模型可通过函数调用集成实时数据(如股票、新闻)或专业工具(如数学计算)[^4]。 - **精准控制**:开发者可限制模型行为,确保输出符合业务规范。 - **成本优化**:减少模型处理复杂逻辑的负担,提升响应效率[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值