|
[求助]在R0下抹CSRSS中的句柄的问题
在正常情况下,0x4e1c作为PID上限足够了,但是这个数并没有什么合理的依据,也并不可靠,真正上限是PspCidTable->NextHandleNeedingPool |
|
[求助]在R0下抹CSRSS中的句柄的问题
IceSword都被人研究得那么透了你竟然还不知道它是怎么枚举进程,就稀里糊涂地写什么隐藏… |
|
[下载]先进的反病毒引擎设计
看摘要感觉好象挺老的~ |
|
[求助]在R0下抹CSRSS中的句柄的问题
用户态光有句柄也不行,你可以得到一个和原来一样的句柄,但对象不一定是那个对象。对csrss这个例子也可以象楼上说的在关闭你的进程句柄后再马上打开一个内核对象先把那个句柄占住,在需要恢复的时候关掉刚才占位的句柄,再立刻打开保存的那个进程,这样就恢复了~~在别的进程里关闭、打开可以用DuplicateHandle,不过确实存在同步问题 |
|
[求助]在R0下抹CSRSS中的句柄的问题
怎么可能嘛?结合Process Explorer看一下~~ |
|
[求助]在R0下抹CSRSS中的句柄的问题
又见0x4e1c~~ |
|
[求助]在R0下抹CSRSS中的句柄的问题
csrss是普通进程,它的句柄表里直接就是Object_Header,不用再减0x18,这一点跟PspCidTable是不一样的~~ |
|
[讨论]再内核模式下获取用户态系统API地址的最方便的方法
自己写GetProcAddress本来就是分析PE文件嘛,而且用起来更爽 |
|
[已解决]一个键盘过滤驱动的问题
那得看数据的流向了,如果数据是从上往下,那么最顶层的设备确实是最先接触到数据的,比如文件防删,待删除的文件的信息数据是从上往下传的;在这个例子里,从上往下的是请求,真正的数据是从下往上传的,所以就变成最底层的设备先接触数据了,道理很简单啊 |
|
[已解决]一个键盘过滤驱动的问题
它第一次接到Irp的时候里面还没有数据呢,所以要设置完成例程继续发下去啊,等Irp带着数据返回时,它的完成例程才有机会处理数据,不过这时候的数据已经是底层驱动的完成例程处理过的了 |
|
[原创]asm的魅力(二)
asm的魅力怎么会是接近人类思维呢?高级语言干啥去了… |
|
[已解决]一个键盘过滤驱动的问题
那个层次关系直接用DeviceTree就可以看到了~ |
|
[已解决]一个键盘过滤驱动的问题
过滤驱动之间也是有层次关系的,后来者居上,它最先接到Irp,但返回时则是最后一个 |
|
[原创]ring0搜索内存枚举线程.
绕过太容易了,替换某个东西就可以了~ |
|
[讨论]再内核模式下获取用户态系统API地址的最方便的方法
楼上办事的时候比较喜欢开线程啊 |
|
[讨论]再内核模式下获取用户态系统API地址的最方便的方法
自己实现一个GetProcAddress,然后想搞谁就Attach到谁,遍历PEB中的Ldr链找到目标模块的基址,然后GetProcAddress想取谁就取谁 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值