Ta的论坛

[求助]关于使用CreateFileMapping把PE文件映射到进程地址空间中的问题
用CreateFileMapping为一个PE文件创建内存映射并且第三个参数包含SEC_IMAGE标志时，映射后的内存文件会按内存粒度和节中指定的VA对齐～此时内存中的布局和磁盘上的通常不一样，因为一般情况下内存对齐粒度比磁盘对齐粒度大～

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2013-2-14 21:12: 0

[原创]Windows7口令认证流程调试
兄弟我来支持你

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2013-2-9 18:49: 0

[求助]能否使用OD了解或调试系统是如何装载和运行到模块入口点
OD满足不了你的要求的。。。用Windbg吧，把CreateProcess这个Event的处理Enable了，然后.restart一下，你就会看到你想看的东西了~

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2013-2-9 18:39: 0

[求助][内核]怎么取到原地址
不知道你说的无效地址是什么意思。。。或者你没理解我的意思

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2013-2-8 17:57: 0

[求助][内核]怎么取到原地址
模拟执行DriverEntry来自动填充

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2013-1-31 22:54: 0

[原创]那一年，菜鸟试过的隐藏
支持一下楼主~

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2013-1-20 16:10: 0

[求助]NtCreateThread的HOOK问题！线程函数在哪？
CONTEXT->Eax就是了

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-12-30 20:22: 0

[建议]大大们应该写些关于内核编程方面的书
书不少了。。。。

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-12-26 19:45: 0

[求助]在od中，如何记录执行过的所有系统api，最好连参数也记录？
SoftSnoop

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-11-14 11:44: 0

[求助]怎么搞定公司讨厌的文档审查软件
用XueTr看一下是过滤驱动还是FSD Hook，把驱动的启动项干掉就行了

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-11-7 20:00: 0

[推荐]推荐一个关于Duqu的文章
楼主，不要把这儿当自己的blog。。。

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-10-19 22:20: 0

[原创]发一个可编译，可替换的hookport代码
非也非也，我已好久不问世事。。。

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-10-9 12:25: 0

[求助]KeDelayExecutionThread问题？？？
timeout.QuadPart = -10 * 600000000 ;

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-10-4 02:02: 0

[求助]内核怎么获取系统目录？？？
\\SystemRoot就是了

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-10-2 10:57: 0

[原创]代码乱序变形
简单的乱序代码拼接我也试着做过，不过没搞下去，哈哈~

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-10-2 10:54: 0

[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]
支持楼主，不错的东西~

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-9-10 22:28: 0

[原创]QDebug 1.0测试版发布，下载
先说几个问题吧

测试系统：WindowsXP SP3

1、菜单项不要总是自动隐藏，这样需要点击某项时会比较浪费时间
2、当调试到如
mov eax, dword ptr [0040842Ch]
这样的指令时，最好在实时显示窗口中显示出地址[0040842Ch]的内容，这样帮助更大

3、“运行到当前行”也就是OD中的F4的功能，QD也有，但是没看到任何地方反应出来，调试菜单里也没有

4、调试程序时添加的断点等信息最好是实时保存，不要等到程序退出时才保存，否则有时候调试的程序出现问题导致调试器也失去反应的时候，一旦强杀进程，之前下的断点就没有了
5、经常提示“内存不足”，不知是什么原因

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-8-19 20:47: 0

win7平台，windbg的本地调试要怎么设置？求详细方法，谢谢！
是系统本身的限制。。。参考以下两篇文章:
d98K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6^5K9h3q4G2N6$3g2A6N6r3g2U0K9q4)9J5c8X3u0D9L8$3N6Q4x3V1k6A6N6r3g2E0i4K6u0r3x3X3p5K6y4o6c8V1k6r3b7%4x3K6g2S2j5e0t1K6x3e0f1&6z5o6u0V1k6o6f1^5i4K6u0W2K9s2c8E0L8l9`.`.
b69K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8G2j5$3W2F1i4K6u0W2j5$3!0E0i4K6u0r3M7q4)9J5k6o6p5%4z5o6x3K6x3e0j5$3i4K6u0W2K9s2c8E0L8l9`.`.

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2012-8-16 13:16: 0

[原创]mini email client 支持imap/pop3/smtp/nntp
这么好的帖子竟然没人顶，我来支持楼主兄弟~

achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-2-22 13:04 0 [求助]关于使用CreateFileMapping把PE文件映射到进程地址空间中的问题不加就和磁盘上一样，相当于一个普通的数据文件，加了就不一样了～
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-2-21 20:27 0 [求助]关于使用CreateFileMapping把PE文件映射到进程地址空间中的问题用CreateFileMapping为一个PE文件创建内存映射并且第三个参数包含SEC_IMAGE标志时，映射后的内存文件会按内存粒度和节中指定的VA对齐～此时内存中的布局和磁盘上的通常不一样，因为一般情况下内存对齐粒度比磁盘对齐粒度大～
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-2-14 21:12 0 [原创]Windows7口令认证流程调试兄弟我来支持你
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-2-9 18:49 0 [求助]能否使用OD了解或调试系统是如何装载和运行到模块入口点 OD满足不了你的要求的。。。用Windbg吧，把CreateProcess这个Event的处理Enable了，然后.restart一下，你就会看到你想看的东西了~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-2-9 18:39 0 [求助][内核]怎么取到原地址不知道你说的无效地址是什么意思。。。或者你没理解我的意思
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-2-8 17:57 0 [求助][内核]怎么取到原地址模拟执行DriverEntry来自动填充
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-1-31 22:54 0 [原创]那一年，菜鸟试过的隐藏支持一下楼主~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2013-1-20 16:10 0 [求助]NtCreateThread的HOOK问题！线程函数在哪？ CONTEXT->Eax就是了
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-12-30 20:22 0 [建议]大大们应该写些关于内核编程方面的书书不少了。。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-12-26 19:45 0 [求助]在od中，如何记录执行过的所有系统api，最好连参数也记录？ SoftSnoop
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-11-14 11:44 0 [求助]怎么搞定公司讨厌的文档审查软件用XueTr看一下是过滤驱动还是FSD Hook，把驱动的启动项干掉就行了
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-11-7 20:00 0 [推荐]推荐一个关于Duqu的文章楼主，不要把这儿当自己的blog。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-10-19 22:20 0 [原创]发一个可编译，可替换的hookport代码非也非也，我已好久不问世事。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-10-9 12:25 0 [求助]KeDelayExecutionThread问题？？？ timeout.QuadPart = -10 * 600000000 ;
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-10-4 02:02 0 [求助]内核怎么获取系统目录？？？ \\SystemRoot就是了
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-10-2 10:57 0 [原创]代码乱序变形简单的乱序代码拼接我也试着做过，不过没搞下去，哈哈~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-10-2 10:54 0 [原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码] 支持楼主，不错的东西~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-9-10 22:28 0 [原创]QDebug 1.0测试版发布，下载先说几个问题吧测试系统：WindowsXP SP3 1、菜单项不要总是自动隐藏，这样需要点击某项时会比较浪费时间 2、当调试到如 mov eax, dword ptr [0040842Ch] 这样的指令时，最好在实时显示窗口中显示出地址[0040842Ch]的内容，这样帮助更大 3、“运行到当前行”也就是OD中的F4的功能，QD也有，但是没看到任何地方反应出来，调试菜单里也没有 4、调试程序时添加的断点等信息最好是实时保存，不要等到程序退出时才保存，否则有时候调试的程序出现问题导致调试器也失去反应的时候，一旦强杀进程，之前下的断点就没有了 5、经常提示“内存不足”，不知是什么原因
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-8-19 20:47 0 win7平台，windbg的本地调试要怎么设置？求详细方法，谢谢！是系统本身的限制。。。参考以下两篇文章: d98K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6^5K9h3q4G2N6$3g2A6N6r3g2U0K9q4)9J5c8X3u0D9L8$3N6Q4x3V1k6A6N6r3g2E0i4K6u0r3x3X3p5K6y4o6c8V1k6r3b7%4x3K6g2S2j5e0t1K6x3e0f1&6z5o6u0V1k6o6f1^5i4K6u0W2K9s2c8E0L8l9`.`. b69K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8G2j5$3W2F1i4K6u0W2j5$3!0E0i4K6u0r3M7q4)9J5k6o6p5%4z5o6x3K6x3e0j5$3i4K6u0W2K9s2c8E0L8l9`.`.
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2012-8-16 13:16 0 [原创]mini email client 支持imap/pop3/smtp/nntp 这么好的帖子竟然没人顶，我来支持楼主兄弟~

{{ user_info.username }}