|
[求助]以Nt和Zw开关的函数有什么区别?
开关? 自己反一下就很明白了 lkd> u ZwOpenProcess nt!ZwOpenProcess: 804de044 b87a000000 mov eax,7Ah 804de049 8d542404 lea edx,[esp+4] 804de04d 9c pushfd 804de04e 6a08 push 8 804de050 e8dc150000 call nt!KiSystemService (804df631) 804de055 c21000 ret 10h lkd> u NtOpenProcess nt!NtOpenProcess: 80573d06 68c4000000 push 0C4h 80573d0b 6810b44e80 push offset nt!ObWatchHandles+0x25c (804eb410) 80573d10 e826f7f6ff call nt!_SEH_prolog (804e343b) 80573d15 33f6 xor esi,esi 80573d17 8975d4 mov dword ptr [ebp-2Ch],esi 80573d1a 33c0 xor eax,eax 80573d1c 8d7dd8 lea edi,[ebp-28h] 80573d1f ab stos dword ptr es:[edi] |
|
[求助]有关SSDT
lkd> u ntdll!NtOpenProcess ntdll!ZwOpenProcess: 7c92dd7b b87a000000 mov eax,7Ah 7c92dd80 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92dd85 ff12 call dword ptr [edx] 7c92dd87 c21000 ret 10h 7c92dd8a 90 nop 7c92dd8b 90 nop 7c92dd8c 90 nop 7c92dd8d 90 nop 注意看NtOpenProcess的第二个字节。 其他的NtXXX/ZwXXX也是这样的(ntdll中) |
|
[讨论]怎样得到自身进程的PID
用irp把自己的pid传给驱动,PsGetCurrentProcessId得到的是caller的pid |
|
[原创]再和 DriverStudio 过不去之加强版:)
蛮和谐的,偶顶顶。 |
|
[讨论]DDK里 不能用 window.h ??
你得先把自己进程的pid传给驱动,然后让驱动自己记住 |
|
[讨论]DDK里 不能用 window.h ??
.................. NtOpenProcess是在caller的上下文中执行的。。你调用(Ps)GetCurrentProcessId得到的是(Nt)OpenProcess的caller的pid。。。 |
|
[求助]玩过DDK的朋友请进
呵,应该用EasySYS来生成 或者自己写sources和makefile,然后用ddk的编译环境来编译(EasySYS不用自己进DDK的编译环境——EasySYS会自己调用bat来调用ddk的编译环境) |
|
[下载][原创]一个小品级的HOOK任务管理器的例子
不过我的是longhorn版本的taskmgr |
|
[下载][原创]一个小品级的HOOK任务管理器的例子
windows xp sp2 |
|
[下载][原创]一个小品级的HOOK任务管理器的例子
--------------------------- hopy --------------------------- TaskMgr LV Item No Found! --------------------------- 确定 --------------------------- 似乎这个程序不是那么的喜欢偶 |
|
[求助]如何枚举系统钩子
_HANDLEENTRY |
|
[求助]有关自删除的问题
写个驱动hook了MmFlushXXX 然后什么都完事了~ |
|
|
|
[求助]在R3下我怎样枚举系统模块???
ZwQuerySystemInformation的SystemModuleInformation |
|
[求助]关于页表问题
0xC0000000是页表 0xC0300000是页目录 0说明没有映射任何内容 windows xp sp2: lkd> dd 0xC0000000 c0000000 00000000 00000000 00000000 00000000 c0000010 00000000 00000000 00000000 00000000 c0000020 00000000 00000000 00000000 00000000 c0000030 00000000 00000000 00000000 00000000 c0000040 00ac3067 00000000 00000000 00000000 c0000050 00000000 00000000 00000000 00000000 c0000060 00000000 00000000 00000000 00000000 c0000070 00000000 00000000 00000000 00000000 lkd> dd 0xC0300000 c0300000 07fba067 053d0067 02ad4067 06048067 c0300010 01b8d067 09984067 0ac3b067 00000000 c0300020 0744e067 00000000 00000000 00000000 c0300030 04002067 00000000 00000000 00000000 c0300040 00000000 00000000 00000000 00000000 c0300050 00000000 00000000 00000000 00000000 c0300060 00000000 00000000 00000000 00000000 c0300070 00000000 00000000 00000000 00000000 |
|
[求助]请问弹出ie并访问指定网页的汇编/WinApI是什么?
ShellExecute |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值