对于jmp类型的hook, 如果自己的过程没有使用_declspec(naked),那么系统会自动给添加一些额外的代码,控制堆栈平衡,但是这些额外的代码会破坏被hook函数的堆栈。 对于call类型的hook,如果使用_declspec(naked)修饰的话,要注意自己恢复堆栈平衡。 下面是网上对_declspec(naked) 的介绍: _declspec(naked) 就是告诉编译器,在编译的时候,不要优化代码,通俗的说就是 没代码,完全要自己写 比如 #define NAKED __declspec(naked) void NAKED code(void) { __asm { ret } } 使用__declspec(naked)关键字定义函数: 1,使用 naked 关键字必须自己构建 EBP 指针 (如果用到了的话); 2,必须自己使用 RET 或 RET n 指令返回 (除非你不返回); _delcspec(naked)用在驱动编写,C语言内嵌汇编完成一些特定功能。 ///////////////////////////////////////////////////////////// JMP 跳转公式 [目标地址-要跳转的地址-5]=跳转实际地址