Ta的论坛

[求助]关于某安全模块的窗口
VMP里的检测到调试器等的提示就是这样输出的。

代码如下：
if (tNtRaiseHardError *raise_hard_error = reinterpret_cast<tNtRaiseHardError *>(GetProcAddress(GetModuleHandle("ntdll.dll"), "NtRaiseHardError")) {
UNICODE_STRING message_str;
UNICODE_STRING title_str;

InitUnicodeString(&message_str, (PWSTR)message);
InitUnicodeString(&title_str, (PWSTR)title);

ULONG_PTR params[4] = {
(ULONG_PTR)&message_str,
(ULONG_PTR)&title_str,
(
(ULONG)ResponseButtonOK |
(type == mtUnregisteredVersion ? IconWarning : IconError)
),
INFINITE
};

HardErrorResponse response;
raise_hard_error(STATUS_SERVICE_NOTIFICATION | HARDERROR_OVERRIDE_ERRORMODE, 4, 3, params, 0, &response);
}

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-9-16 08:16: 0

[原创]分享VirtualKD+VMware+IDA双机调试方法
谢谢分享

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-9-12 08:43: 0

[原创]USB重定向-对开源软件USBIPSTUB框架改造，修改为类过滤机制
厉害，学习下

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-8-22 13:47: 0

[原创]无痕HOOK 检测及对抗
感谢分享

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-8-22 13:45: 0

[原创]未知格式文件识别工具FixTail
感谢分享

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-8-19 08:46: 0

[求助]修改一个arm架构的二进制文件中的路径
文件发出来看下。目标字符串比现有字符串长，所以没法直接在原址上修改。但只需要修改 init:0002f1b0处引用的目标地址到另一空闲处应该就可以吧。

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-8-12 18:05: 0

[原创]VMP之我见
感谢分享

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-8-8 09:37: 0

[求助]通过修改PTE设置执行权限的奇怪问题
要想查看为什么SetExecutePage后为什么不行，可以在内核修改完页保护属性后，R3开始运行前暂停，然后用VMMAP工具查看下对应SHELLCODE的地址范围的页保护属性是否和预期的一致。

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-8-8 09:35: 0

[求助]通过修改PTE设置执行权限的奇怪问题
大哥你的代码问题太很多了。一点容错处理和异常情况都没考虑，很少看到内核操作还有无锁操作的情况，而且操作物理内存居然不需要考虑被中断的情况？想问下你在什么系统下测试的，这样的代码居然不蓝？同时代码没有考虑多核并发问题、虚拟内存对应的物理内存不存在情况下没有修改对应的页面属性、刷新TLB有问题等。 ZwProtectVirtualMemory的内部实现并不像你的代码那么简单。

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-8-4 08:33: 0

[原创]Overt安全风控检测工具深度解析
感谢分享

拍拖

雪币： 2790

活跃值： (5737)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

336

粉丝

13

关注

私信

拍拖 2 2025-7-29 10:10: 0

[分享]IDA 9.2 BETA
请问有安装密码吗？
能安装吗？

拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-11-20 18:08 0 [原创]VmProtect.3.8.1分析之虚拟机流程感谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-11-20 18:06 0 [原创]用IDA微码(Hex-Rays Microcode)技术反简单CFF 感谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-11-20 18:04 0 [分享]VMProtect3.5.1反调试爆破之AntiVmp v1.0beta插件感谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-11-3 15:42 0 [原创]Process Monitor使用案例（一）学习一下
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-10-31 11:09 0 [原创]逆向玩家的免杀入门：9天搞定360核晶+卡巴动态查杀学习学习
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-10-20 17:24 0 [原创] 抛砖引玉：用硬件DMA突破游戏反调试的新思路现在腾讯的游戏已经防范DMA技术了。今年被封了一大批，导致DMA套装都掉价了。目前看闲鱼还有卖的，不知道是否已经有其他绕过检测的技术了。
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-10-20 16:50 0 [求助]windows10调试出错符号表与系统版本不一样你的WINDBG版本估计太老了，识别的系统还是Windows 7 19041 。你用微软应用商店下载个WINDBG就可以下载对应系统的符合了。
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-10-17 10:59 0 [分享]邪修能去企业级的去签工具（半成品）学习一下
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-10-14 15:24 0 [原创]劫持MSVC编译器编译过程(VS2019 VS2022) 利用思路学习下。
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-9-22 08:17 0 [求助]关于某安全模块的窗口 VMP里的检测到调试器等的提示就是这样输出的。代码如下： if (tNtRaiseHardError raise_hard_error = reinterpret_cast<tNtRaiseHardError >(GetProcAddress(GetModuleHandle("ntdll.dll"), "NtRaiseHardError")) { UNICODE_STRING message_str; UNICODE_STRING title_str; InitUnicodeString(&message_str, (PWSTR)message); InitUnicodeString(&title_str, (PWSTR)title); ULONG_PTR params[4] = { (ULONG_PTR)&message_str, (ULONG_PTR)&title_str, ( (ULONG)ResponseButtonOK \| (type == mtUnregisteredVersion ? IconWarning : IconError) ), INFINITE }; HardErrorResponse response; raise_hard_error(STATUS_SERVICE_NOTIFICATION \| HARDERROR_OVERRIDE_ERRORMODE, 4, 3, params, 0, &response); }
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-9-16 08:16 0 [原创]分享VirtualKD+VMware+IDA双机调试方法谢谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-9-12 08:43 0 [原创]USB重定向-对开源软件USBIPSTUB框架改造，修改为类过滤机制厉害，学习下
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-8-22 13:47 0 [原创]无痕HOOK 检测及对抗感谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-8-22 13:45 0 [原创]未知格式文件识别工具FixTail 感谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-8-19 08:46 0 [求助]修改一个arm架构的二进制文件中的路径文件发出来看下。目标字符串比现有字符串长，所以没法直接在原址上修改。但只需要修改 init:0002f1b0处引用的目标地址到另一空闲处应该就可以吧。
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-8-12 18:05 0 [原创]VMP之我见感谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-8-8 09:37 0 [求助]通过修改PTE设置执行权限的奇怪问题要想查看为什么SetExecutePage后为什么不行，可以在内核修改完页保护属性后，R3开始运行前暂停，然后用VMMAP工具查看下对应SHELLCODE的地址范围的页保护属性是否和预期的一致。
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-8-8 09:35 0 [求助]通过修改PTE设置执行权限的奇怪问题大哥你的代码问题太很多了。一点容错处理和异常情况都没考虑，很少看到内核操作还有无锁操作的情况，而且操作物理内存居然不需要考虑被中断的情况？想问下你在什么系统下测试的，这样的代码居然不蓝？同时代码没有考虑多核并发问题、虚拟内存对应的物理内存不存在情况下没有修改对应的页面属性、刷新TLB有问题等。 ZwProtectVirtualMemory的内部实现并不像你的代码那么简单。
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-8-4 08:33 0 [原创]Overt安全风控检测工具深度解析感谢分享
拍拖雪币： 2790 活跃值： (5737) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 336 粉丝 13 关注私信	拍拖 2 2025-7-29 10:10 0 [分享]IDA 9.2 BETA 请问有安装密码吗？能安装吗？

{{ user_info.username }}