|
[求助]利用加减法饶过DLL重定位来加密DLL代码段,为什么失败?
即使是byte也存在上溢下溢的问题,你无法保证你做的加减法掺和重定位处理后还能够还原到原来的效果吧,不对重定位做处理是不行的啊,有重定位表在那儿,似乎也不难做嘛~ |
|
[原创]详谈内核三步走Inline Hook实现
wakaka挺细心啊,看来楼主需要部的东西挺多~ |
|
[求助]利用加减法饶过DLL重定位来加密DLL代码段,为什么失败?
觉得你的问题还是在重定位,你是四字节为单位作加减法,但是系统处理重定位时的加减法跟你的存在对齐问题(指令长度不定),重定位处理的那四个字节也许刚好被你拆开了吧,纯属猜测,让调试器说话吧 |
|
[原创]详谈内核三步走Inline Hook实现
被鄙视了就赶紧找找原因,别让你的错误再误导其它人 |
|
[求助]研究无思路,来请教
试试pid+1或者LzOpenProcess,看那厮抄代码时有没有动脑子~ |
|
[求助]研究无思路,来请教
把它监视那个线程Suspend了;或者ring3下hook ZwOpenProcess走另一个ServiceIndex;或者hook KiFastCallEntry走自己的表不走SSDT,能干扰的地方太多了~ |
|
[求助]利用加减法饶过DLL重定位来加密DLL代码段,为什么失败?
因为DLL本身有重定位表,你这个解密代码执行时系统已经对某些指令做了重定位处理,再执行你这个就把重定位部分数据搞乱了,而EXE不存在重定位问题,所以你怎么折腾都没事。你凭什么说就绕过了重定位处理呢?检查一下你的加载地址不就知道了?调试一下,或者你可以在编译时指定DLL的基址为象0x20000000这样不会被别人占用的地址来测试一下就知道了 |
|
[原创]详谈内核三步走Inline Hook实现
其实有点调试和编程的基础,搞这玩意儿很容易 |
|
[分享]全新原创Anti-rootkit软件SysReveal,欢迎试用
引用某人一句话:这年头ARK比RK还多~~呵呵,还是支持一下 |
|
[讨论]关于隐藏远程IP端口
看JIURL写的那个端口隐藏就行了,在他的基础上发挥你的想象 |
|
[讨论]关于隐藏远程IP端口
隐藏只是隐藏显示效果,端口还是真实存在的,抓包当然可以~隐藏方法不管是NtDeviceIoControlFile还是TCPIP的DispatchRoutine还是IofCallDriver,其实并没多大区别 |
|
[求助]如何得到MUTEX创建进程者的ID或者HANDLE
有名字吧?枚举句柄吧 |
|
[求助]win32 asm有关取得数值的方法,有几种?
那是小虾,不是大虾~ |
|
[原创] 隐藏进程中的模块绕过IceSword的检测
src在debugman~~ |
|
[求助]什么是可疑线程?
是的~123456 |
|
[求助]什么是可疑线程?
你说的算是一种情况吧,我并没有详细分析RKU的检测方法,我文章中提到的检测线程StartAddress也算一种,记录那三个函数的返回地址并判断也算一种,都是黑盒来的~ |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值