Ta的论坛

[求助]通过枚举job Object来列举进程，如何找到Job Object
完整点说就是KiWaitListHead和KiDispatcherReadyListHead，和线程调度有关的两个链表
参考以下内容：
6caK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6W2L8X3E0#2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6$3K9h3g2%4i4K6u0r3k6o6W2V1x3e0V1@1k6U0N6T1j5e0m8V1y4r3p5%4x3K6l9J5y4K6j5K6j5e0y4T1i4K6u0W2K9s2c8E0L8l9`.`.

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-9 19:50: 0

[原创]驱动加载监控工具
这种情况我一般用HIPS搞定~~

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-9 13:39: 0

[原创]反反调试思想方法探索
支持一下楼主~~

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-7 19:32: 0

[求助]代码注入中的函数地址和函数长度
那是因为DEBUG版的通常使用跳转表，就像这样：

00401004    CC                      int3
00401005 $  E9 86000000    jmp testXXX.FUN
0040100A $  E9 11000000    jmp testXXX.main
0040100F    CC                      int3
00401010    CC                      int3

要注入的代码如果比较复杂，还是用shellcode式的代码吧

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-7 19:22: 0

[求助]2009 年之后,有哪有比较好的远程控制开源代码
基于Gh0st修改的挺多。。。

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-7 19:21: 0

[求助]KiAttachProcess用虚拟机怎么看不到此函数就是用WinDbg
啊？原来这个就是那80位高手之一？继续围观。。。

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-7 19:16: 0

[求助]通过枚举job Object来列举进程，如何找到Job Object
都是前人做过的东西了，都怪你不会搜索啊。。。
http://bbs.pediy.com/showthread.php?t=97050
bb6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4H3M7r3u0D9L8$3N6Q4x3X3g2U0L8$3#2Q4x3V1k6f1K9h3&6H3L8$3&6@1i4K6u0r3j5i4u0U0K9r3W2$3k6g2)9J5c8U0t1H3x3e0m8Q4x3V1j5I4x3W2)9J5c8U0p5%4i4K6u0r3x3e0x3$3y4K6x3^5i4K6u0W2j5i4y4H3P5l9`.`.

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-7 08:12: 0

[求助]KiAttachProcess与NtReadVirtualMemory获取地址问题
神奇，居然不验证p的有效性，如果是0你不就悲剧了……

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-6 20:46: 0

[讨论]简单获取PspCidTable地址
方法太多，请参考以下内容：
eeaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6W2M7o6m8U0M7X3W2F1k6#2)9J5c8X3u0D9L8$3N6Q4x3V1k6A6N6r3g2E0i4K6u0r3z5e0S2U0x3X3f1@1y4e0R3H3z5r3g2T1z5r3j5J5x3U0t1&6x3K6c8X3x3r3c8U0i4K6u0W2K9s2c8E0L8l9`.`.

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-6 10:07: 0

[求助]关于XP句柄表
对象体前面就是对象头，你要的信息都在对象头里

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-6 10:05: 0

[讨论]句柄表中对象头的定义问题，两个说法？？
明明是一样的嘛，如果是union的话，windbg把其成员都显示出来了，看偏移就知道了，是一样的

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-3 21:49: 0

[原创]解除 VC6 不能打开真彩色位图的限制
这个给力，支持~~

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2011-1-3 08:18: 0

[求助][已解决]一用到EBX寄存器，在启动驱动服务时候就蓝屏幕，求解
要自己先保存ebx的值……调用约定的问题～

achillis

雪币： 7651

活跃值： (518)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

51

关注

私信

achillis 15 2010-12-29 21:53: 0

[原创]简单分析某游戏debugport清零
虚拟机是可以跑DNF啊，我的就是虚拟机里跑的。。。

achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-12 11:50 0 [求助]怎样使程序加载指定keneral32.dll? kernel32.dll是knowndll，在注册表里有登记的，所以你的方法不好使。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-11 18:59 0 关于typedef struct _EPROCESS定义好吧，我来一起膜拜。。。我只是不想看雪的水帖越来越多而已。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-11 18:54 0 关于typedef struct _EPROCESS定义作为100+高手的群主，我劝LZ还是回去好好打打基础吧。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-11 18:53 0 关于typedef struct _EPROCESS定义你这样定义毫无意义啊。。。结构体的意义就是在于各成员的偏移，你这个成员少了那么多，就一个ImageFileName吧，偏移还不对，完全无意义~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-10 19:56 0 [求助]通过枚举job Object来列举进程，如何找到Job Object 完整点说就是KiWaitListHead和KiDispatcherReadyListHead，和线程调度有关的两个链表参考以下内容： 6caK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6W2L8X3E0#2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6$3K9h3g2%4i4K6u0r3k6o6W2V1x3e0V1@1k6U0N6T1j5e0m8V1y4r3p5%4x3K6l9J5y4K6j5K6j5e0y4T1i4K6u0W2K9s2c8E0L8l9`.`.
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-9 19:50 0 [原创]驱动加载监控工具这种情况我一般用HIPS搞定~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-9 13:39 0 [原创]反反调试思想方法探索支持一下楼主~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-7 19:32 0 [求助]代码注入中的函数地址和函数长度那是因为DEBUG版的通常使用跳转表，就像这样： 00401004 CC int3 00401005 $ E9 86000000 jmp testXXX.FUN 0040100A $ E9 11000000 jmp testXXX.main 0040100F CC int3 00401010 CC int3 要注入的代码如果比较复杂，还是用shellcode式的代码吧
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-7 19:22 0 [求助]2009 年之后,有哪有比较好的远程控制开源代码基于Gh0st修改的挺多。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-7 19:21 0 [求助]KiAttachProcess用虚拟机怎么看不到此函数就是用WinDbg 啊？原来这个就是那80位高手之一？继续围观。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-7 19:16 0 [求助]通过枚举job Object来列举进程，如何找到Job Object 都是前人做过的东西了，都怪你不会搜索啊。。。 http://bbs.pediy.com/showthread.php?t=97050 bb6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4H3M7r3u0D9L8$3N6Q4x3X3g2U0L8$3#2Q4x3V1k6f1K9h3&6H3L8$3&6@1i4K6u0r3j5i4u0U0K9r3W2$3k6g2)9J5c8U0t1H3x3e0m8Q4x3V1j5I4x3W2)9J5c8U0p5%4i4K6u0r3x3e0x3$3y4K6x3^5i4K6u0W2j5i4y4H3P5l9`.`.
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-7 08:12 0 [求助]KiAttachProcess与NtReadVirtualMemory获取地址问题神奇，居然不验证p的有效性，如果是0你不就悲剧了……
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-6 20:46 0 [讨论]简单获取PspCidTable地址方法太多，请参考以下内容： eeaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6W2M7o6m8U0M7X3W2F1k6#2)9J5c8X3u0D9L8$3N6Q4x3V1k6A6N6r3g2E0i4K6u0r3z5e0S2U0x3X3f1@1y4e0R3H3z5r3g2T1z5r3j5J5x3U0t1&6x3K6c8X3x3r3c8U0i4K6u0W2K9s2c8E0L8l9`.`.
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-6 10:07 0 [求助]关于XP句柄表对象体前面就是对象头，你要的信息都在对象头里
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-6 10:05 0 [讨论]句柄表中对象头的定义问题，两个说法？？明明是一样的嘛，如果是union的话，windbg把其成员都显示出来了，看偏移就知道了，是一样的
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-3 21:49 0 [原创]解除 VC6 不能打开真彩色位图的限制这个给力，支持~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2011-1-3 08:18 0 [求助][已解决]一用到EBX寄存器，在启动驱动服务时候就蓝屏幕，求解要自己先保存ebx的值……调用约定的问题～
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-12-29 21:53 0 [原创]简单分析某游戏debugport清零虚拟机是可以跑DNF啊，我的就是虚拟机里跑的。。。

{{ user_info.username }}