易语言源码函数RtlRemoteCall是ntdll中的一个未文档化的函数,其功能主要是修改EIP,实现远程线程调用。
该函数的内部实现过程其实非常简单,主要是使用NtGetContextThread获得线程上下文,然后用NtWriteVirtualMemory写入参数信息,最后使用NtSetContextThread修改EIP信息,实现跳转。

发表评论

后才能评论