Ta的论坛

头图
皮肤套装

使用

主题(32) | 回帖(2035) | 精华(15)

achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-28 21:36 0 [求助]内核线程的创建 Return Value PsCreateSystemThread returns STATUS_SUCCESS if the thread was created. 返回0也就是STATUS_SUCCESS，表示线程确实创建成功了。线程没有运行起来可能是因为某种原因又退出了。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-25 23:09 0 我想我快发现一个新的文件自校验的方法了当然可以，比如我们常说的“双开”问题。。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-25 18:21 0 ZwDuplicateObject 自已实现需要驱动。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-21 22:31 0 [求助]串口过滤问题这么看应该是程序打开串口时没有共享，你可以修改已经打开的句柄的访问权限，或者不使用IoGetDeviceObjectPointer，比如先得到驱动对象\Driver\Serial，然后取DriverObject->Device，实在不行实际HOOK DispatchRoutine
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-21 22:22 0 [求助]有办法在程序运行过程中打印函数调用堆栈不？谢谢！栈回溯啊。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 23:58 0 [求助]DuplicateHandle得到进程句柄后 ZwQueryInformationProcess跟断链没关系吧，它是用的ObReferenceObjectByHandle从句柄得到对象的，这个过程是查询句柄表，跟活动进程链没任何关系。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 16:16 0 [求助]SetLocalTime失败应该是没初始化的缘故吧…
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 16:13 0 OpenServiceA 打开XX.sys返回错误码2，高手帮忙 OpenService是与服务管理器打交道的，跟文件没有关系，好好看看MSDN上的参数说明…
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 00:10 0 [求助]为什么　LoadLibrary　kdcom.dll　　不能成功呢? 不是不够权限，正是因为这是个内核模式的dll，所以导入表中有ntoskrnl和hal，在ring3下根本无法初始化导入表。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-19 21:14 0 [原创]FkAdv.sys 逆向非常不错，代码也写得很好~~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-19 21:08 0 [求助]无驱动删除正在运行的DLL 这样的ring3碎甲不一定行吧，有时锁定并不是因为句柄的原因，FileObject->SectionObjectPointer.ImageSectionObject不为0（对可执行映像而言），删除文件时MmFlushImageSectionObject会检查这里的。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-17 19:49 0 [求助]驱动判断某个进程是否存在看你要根据哪个信息来判断了。。。最简单的就是根据进程名称~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-17 19:48 0 [讨论][讨论]关于获取callstack 先获取所有已加载模块的基址和映像大小，然后看EIP落在哪个模块的地址范围内。。。然后EIP-ModuleBase不就是偏移了嘛。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-16 22:52 0 [讨论][讨论]关于获取callstack windbg的栈回溯功能就不错~~ 有EIP很容易确定是在哪个模块，然后再根据这个模块的符号来确定是哪个函数内部。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-14 19:18 0 [求助]双进程操作同一个文件注意同步，其它没什么难的…
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-13 21:59 0 [求助]DLL中如何获取主线程ID 可以的，用ZwQuerySystemInformation查ProcessThreadsInfo就可以了~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-11 22:45 0 [求助]关于系统回调概念这实际是一个CreateProcessNotify~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-5 22:34 0 [求助]帮忙看下RING0调用RING3 API 函数申请内存为什么一定要用Heap? 你用ZwAllocatVirtualMemory申请到的东西叫什么？？？
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-3 13:06 0 [求助]程序反汇编后，出现很多源文件的名称，是怎么回事？编译器生成的东西，用来辅助调试的，比如源码级调试时调试器需要据此找到你这个程序的源文件。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-3 13:05 0 [求助]ring0下如何HOOK实现拦截驱动加载并获得映像基址服务方式加载的是由Services.exe做的，最终是由Services.exe调用ZwLoadDriver 直接调用ZwLoadDriver/ZwSetSystemInformation加载的就是当前进程。。。

精华数

RANk

雪币

活跃值

关注数

粉丝数

课程经验

学习收益

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值：

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值

achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-28 21:36 0 [求助]内核线程的创建 Return Value PsCreateSystemThread returns STATUS_SUCCESS if the thread was created. 返回0也就是STATUS_SUCCESS，表示线程确实创建成功了。线程没有运行起来可能是因为某种原因又退出了。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-25 23:09 0 我想我快发现一个新的文件自校验的方法了当然可以，比如我们常说的“双开”问题。。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-25 18:21 0 ZwDuplicateObject 自已实现需要驱动。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-21 22:31 0 [求助]串口过滤问题这么看应该是程序打开串口时没有共享，你可以修改已经打开的句柄的访问权限，或者不使用IoGetDeviceObjectPointer，比如先得到驱动对象\Driver\Serial，然后取DriverObject->Device，实在不行实际HOOK DispatchRoutine
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-21 22:22 0 [求助]有办法在程序运行过程中打印函数调用堆栈不？谢谢！栈回溯啊。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 23:58 0 [求助]DuplicateHandle得到进程句柄后 ZwQueryInformationProcess跟断链没关系吧，它是用的ObReferenceObjectByHandle从句柄得到对象的，这个过程是查询句柄表，跟活动进程链没任何关系。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 16:16 0 [求助]SetLocalTime失败应该是没初始化的缘故吧…
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 16:13 0 OpenServiceA 打开XX.sys返回错误码2，高手帮忙 OpenService是与服务管理器打交道的，跟文件没有关系，好好看看MSDN上的参数说明…
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-20 00:10 0 [求助]为什么　LoadLibrary　kdcom.dll　　不能成功呢? 不是不够权限，正是因为这是个内核模式的dll，所以导入表中有ntoskrnl和hal，在ring3下根本无法初始化导入表。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-19 21:14 0 [原创]FkAdv.sys 逆向非常不错，代码也写得很好~~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-19 21:08 0 [求助]无驱动删除正在运行的DLL 这样的ring3碎甲不一定行吧，有时锁定并不是因为句柄的原因，FileObject->SectionObjectPointer.ImageSectionObject不为0（对可执行映像而言），删除文件时MmFlushImageSectionObject会检查这里的。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-17 19:49 0 [求助]驱动判断某个进程是否存在看你要根据哪个信息来判断了。。。最简单的就是根据进程名称~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-17 19:48 0 [讨论][讨论]关于获取callstack 先获取所有已加载模块的基址和映像大小，然后看EIP落在哪个模块的地址范围内。。。然后EIP-ModuleBase不就是偏移了嘛。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-16 22:52 0 [讨论][讨论]关于获取callstack windbg的栈回溯功能就不错~~ 有EIP很容易确定是在哪个模块，然后再根据这个模块的符号来确定是哪个函数内部。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-14 19:18 0 [求助]双进程操作同一个文件注意同步，其它没什么难的…
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-13 21:59 0 [求助]DLL中如何获取主线程ID 可以的，用ZwQuerySystemInformation查ProcessThreadsInfo就可以了~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-11 22:45 0 [求助]关于系统回调概念这实际是一个CreateProcessNotify~~
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-5 22:34 0 [求助]帮忙看下RING0调用RING3 API 函数申请内存为什么一定要用Heap? 你用ZwAllocatVirtualMemory申请到的东西叫什么？？？
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-3 13:06 0 [求助]程序反汇编后，出现很多源文件的名称，是怎么回事？编译器生成的东西，用来辅助调试的，比如源码级调试时调试器需要据此找到你这个程序的源文件。。。
achillis 雪币： 7651 活跃值： (518) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 51 关注私信	achillis 15 2010-7-3 13:05 0 [求助]ring0下如何HOOK实现拦截驱动加载并获得映像基址服务方式加载的是由Services.exe做的，最终是由Services.exe调用ZwLoadDriver 直接调用ZwLoadDriver/ZwSetSystemInformation加载的就是当前进程。。。

{{ user_info.username }}