|
[求助]如何获取某个进程创建的所有子进程?
那就只能定时枚举了~ring0用ProcssNotify最容易 |
|
[求助]如何获取某个进程创建的所有子进程?
ToolHelp函数就可以啊,枚举时判断一下父进程PID是不是那个进程就行了 |
|
[求助]如何从内存映射句柄得到内核对象(_SECTION_OBJECT)
我也随便贴点东西~~ kd> dt _SECTION_OBJECT e1471548 nt!_SECTION_OBJECT +0x000 StartingVa : (null) +0x004 EndingVa : 0x0100003e +0x008 Parent : 0xf8a8f5bc +0x00c LeftChild : 0x00001000 +0x010 RightChild : 0xffffffff +0x014 Segment : 0xe1013f18 _SEGMENT_OBJECT kd> dt _SEGMENT_OBJECT 0xe1013f18 nt!_SEGMENT_OBJECT +0x000 BaseAddress : 0x8225bba8 +0x004 TotalNumberOfPtes : 0xf +0x008 SizeOfSegment : _LARGE_INTEGER 0xf +0x010 NonExtendedPtes : 0xf000 +0x014 ImageCommitment : 0 +0x018 ControlArea : 0x00000420 _CONTROL_AREA +0x01c Subsection : 0x8225bc58 _SUBSECTION +0x020 LargeControlArea : (null) +0x024 MmSectionFlags : (null) +0x028 MmSubSectionFlags : (null) kd> dt _CONTROL_AREA 0x8225bba8 nt!_CONTROL_AREA +0x000 Segment : 0xe1013f18 _SEGMENT +0x004 DereferenceList : _LIST_ENTRY [ 0x0 - 0x0 ] +0x00c NumberOfSectionReferences : 1 +0x010 NumberOfPfnReferences : 1 +0x014 NumberOfMappedViews : 0 +0x018 NumberOfSubsections : 5 +0x01a FlushInProgressCount : 0 +0x01c NumberOfUserReferences : 1 +0x020 u : __unnamed +0x024 FilePointer : 0x8237d3a0 _FILE_OBJECT +0x028 WaitingForDeletion : (null) +0x02c ModifiedWriteCount : 0 +0x02e NumberOfSystemCacheViews : 0 kd> !fileobj 0x8237d3a0 \WINDOWS\system32\smss.exe Device Object: 0x82356c08 \Driver\Ftdisk Vpb: 0x823ab930 Access: Read SharedRead SharedDelete Flags: 0x44040 Cache Supported Cleanup Complete Handle Created FsContext: 0xe1478d90 FsContext2: 0xe1478ee8 CurrentByteOffset: 0 Cache Data: Section Object Pointers: 8224a014 Shared Cache Map: 00000000 |
|
[求助]hook ZwQuerySystemInformation 问题
楼主回去打好基础再来吧~ |
|
[原创]计算机系学生大学四年应该这样过
成功的路大家都知道,可是有的人不愿去走而已,乱花渐欲迷人眼,看你心能安否~ |
|
[求助]关于获取自身父进程PID的疑问
楼主先查查Unique是什么意思,Parent是什么意思~~ |
|
[原创]写了个驱动,隐藏cmd.exe进程(高手别看)
双向环状链表,无所谓头,无所谓尾。直接RemoveEntryList不就行了,像楼主这么写比较容易混乱,自己清楚还好,自己都不清楚,别人就更搞不清楚了~ |
|
[分享]采用关闭句柄的方式去掉程序多开的限制
难道插线程这种XX事就不需要打开目标进程了?想清楚了~~ |
|
[求助]拦截DLL注入的思路
俄罗佬的ring0MsgBox可以神奇地在任意地址着陆,不一定在那个表的范围内~ |
|
[求助]拦截DLL注入的思路
用KeUsermodecallback但是不用0x42你防得住吗? |
|
[求助]进程提权的汇编代码出现问题
不是一个桌面,弹框当然看不到~ |
|
[求助]一个数据对齐的问题,VC6.0编译出的汇编代码有问题
你自己实验下好了,像你这个程序,完全没有必要搞这个~ |
|
[求助]一个数据对齐的问题,VC6.0编译出的汇编代码有问题
解决办法是#pragma pack(push,1),不过完全没有必要~ |
|
[求助]一个数据对齐的问题,VC6.0编译出的汇编代码有问题
请先学习一下结构体的对齐知识~ |
|
[求助]ReadFile老是执行出错的问题,很郁闷哦
直接读取磁盘时,必须按扇区大小对齐,按3楼说的去看下MSDN吧 |
|
[求助]ReadFile老是执行出错的问题,很郁闷哦
要按扇区对齐,至少得是512吧~ |
|
[求助]LoadImageCallBack Process problem
你的错误返回值是多少? |
|
[求助]弱弱的问下逆向驱动
这是编译的问题,从DDK2003开始编译的驱动前面都会出现这一段代码,最后的jmp sub_108AC就是跳到真正的DriverEntry,也就是说sub_108AC就是DriverEntry~ |
|
[求助]ObOpenObjectByPointer后系统蓝屏的问题
小聪的回答一向是准确、详细,膜拜~ |
|
[原创]R3读文件获取原始SSDT Shadow里地址
只是加载到内存而已,要是LoadLibrary真能把它加载到那个位置就太牛了,一种新的突破各种XX保护的驱动加载方法诞生了 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值