|
[讨论]征集邀请制的邀请码分配建议
但是你有没有看到有些人根本不会提问? |
|
[求助]TerminateProcess能结束系统进程吗
楼上兄弟,理解万岁…类似这样的问题见太多了,忍不住扯了几句:http://bbs.pediy.com/showthread.php?t=84124 我不是要打击新人,我也是新人过来的,只是想给想学习的新人朋友分享一点关于学习经验和提问须知。 |
|
[求助]TerminateProcess能结束系统进程吗
楼上不懂我的意思那就算了,当我没说,当我自作多情 |
|
[转]CPU级RootKit,目前无药可医
不懂,据MJ说是老外在炒作~ |
|
[求助]利用SetSystemInformation注册驱动?
类型不一致嘛。两处GetProcAddress前没类型转换和声明不一致。貌似你贴的代码不全?这个错误说白了就是C语言里面函数型指针的相关知识 |
|
[求助]TerminateProcess能结束系统进程吗
说句不中听的话,楼主发这样的帖子纯属浪费 |
|
[求助]TerminateProcess能结束系统进程吗
怎么不能?只不过打开系统进程通常需要SeDebugPrivilege而已。我觉得楼主花几分钟写个代码实验之后再来问会更好 |
|
[求助]请问 UCHAR 怎么转换为 UNICODE_STRING..
UCHAR转成WCHAR然后RtlInitUnicodeString |
|
[求助]知道函数名如何获取索引号?
自己匹配导出表? |
|
[求助]寻找MD5对字符数组加密的算法
网上有对字符串加密的,你稍微改改不就能用了嘛 |
|
|
|
[求助]请问在如何关闭一个浏览器?
楼上不和谐哇~ |
|
[求助]请问在如何关闭一个浏览器?
年轻是很好,年轻才需要多学着点 |
|
[求助]请问在如何关闭一个浏览器?
发了三个帖子了… |
|
[下载]发一个MD5静态库
支持分享~这东西虽然相关资料巨多,但好用的代码和库不是很多 |
|
[求助]在驱动中编程中用 __asm mov DWORD ptr [400000h],0;DDK编译不能通过啊,为什么??
加上ds前缀,这样写 mov dword ptr ds:[400000h],0 |
|
[原创]娱乐,扩展一下ProcessNotify~~
答案其实还在WRK中啊,自已分析学的效果会更好~~ 我这么写一下吧: PsSetCreateProcessNotifyRoutineArrary[0]-3 =PsSetCreateProcessNotifyRoutineArrary[0]-7+4 再给出几个定义: EX_CALLBACK PspCreateProcessNotifyRoutine[PSP_MAX_CREATE_PROCESS_NOTIFY]; typedef struct _EX_CALLBACK { EX_FAST_REF RoutineBlock; } EX_CALLBACK, *PEX_CALLBACK; typedef struct _EX_FAST_REF { union { PVOID Object; ULONG_PTR RefCnt : 3; ULONG_PTR Value; }; } EX_FAST_REF, *PEX_FAST_REF; typedef struct _EX_RUNDOWN_REF { #define EX_RUNDOWN_ACTIVE 0x1 #define EX_RUNDOWN_COUNT_SHIFT 0x1 #define EX_RUNDOWN_COUNT_INC (1<<EX_RUNDOWN_COUNT_SHIFT) union { ULONG_PTR Count; PVOID Ptr; }; } EX_RUNDOWN_REF, *PEX_RUNDOWN_REF; typedef struct _EX_CALLBACK_ROUTINE_BLOCK { EX_RUNDOWN_REF RundownProtect; PEX_CALLBACK_FUNCTION Function; PVOID Context; } EX_CALLBACK_ROUTINE_BLOCK, *PEX_CALLBACK_ROUTINE_BLOCK; typedef NTSTATUS (*PEX_CALLBACK_FUNCTION ) ( IN PVOID CallbackContext, IN PVOID Argument1, IN PVOID Argument2 ); 就是说,PspCreateProcessNotifyRoutine数组中的每一个元素其实都是一个EX_FAST_REF结构,而这个结构同时包含了对象本身及其快速引用记数两个信息,因为Windows总可以保证每个对象地址的低三位为0,因此这里低三位用于快速引用记数(句柄表中对象的低三位则用于其它标志,这是Windows里的一个习惯).这三位可以表示的最大引用记数是当然就是二进制的111,也就是7.如果一个EX_FAST_REF没有被引用(或引用后又恢复计数),它的低三位数值必然等于7.因此,EX_FAST_REF的值减去7之后才是对象的真正地址,这就是上面表达式中减7的原因.而对这个例子来说,这个对象也就是上面的EX_CALLBACK_ROUTINE_BLOCK结构.而ProcessRoutine在这个结构中的偏移为4,因此再加4就得到这个Routine的真实地址了.说得已经很细了,呵呵~~ 其实这么写不算很好,应该直接屏蔽掉低三位然后再加4,像这样: PsSetCreateProcessNotifyRoutineArrary[0]&~7+4 WRK是个相当不错的参考资料,好好利用~~~~~~~ |
|
[求助]关于启动函数!
http://hi.baidu.com/%B3%FE%D0%F9%B1%F9%C0%B6/blog/item/543e4055736a5453564e001b.html |
|
[求助]关于启动函数!
你拿OD调试一个VC的控制台程序就知道了,最好是Debug版,开头总是GetVersionEx,GetStartupInfo,GetCommandLine等做准备工作的,然后才准备参数并调用真正的main。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值