|
[求助]关于监视进程打开的文件问题。
用ntdll sdk就行了 |
|
|
|
[求助]如何实现划词钩子呢?
膜拜楼上大牛~ |
|
[求助]虚心请教,不胜感激(关于SSDT)
1.地址定位这个工作是在PE加载到内存的时候的完成的,就像一个程序使用了MessageBox,那么它所调用的这个函数的地址是在MessageBox所在的user32.dll加载之后确定的~ 2.这个你在ntdll.dll中随便找个Native API反汇编一下,可以看到类似这样的代码: MOV EAX,00000029 //这个0x29就是你要的ID了,其它类推~ ... SYSENTER//进入核心态 RET 0020 具体做法请自己找一份SSDT HOOK代码参考 |
|
[求助]关于监视进程打开的文件问题。
我说下我知道的方法: 1.得到目标进程的pid(这个容易吧?),然后ZwQuerySystemInformation枚举系统中所有句柄,然后判断类型是文件且属于目标进程的(由pid判断) 2.判断是否独占我不清楚,强行关闭可以ZwDuplicateObject,注意最后一个参数使用DUPLICATE_CLOSE_SOURCE,到本进程以后再ZwClose就可以了。 ps:最近在玩Native API,所以前面提到的函数都是Native的~~ |
|
[求助]虚心请教,不胜感激(关于SSDT)
1.因为KeServiceDescriptorTable是被ntosXX.exe导出的,所以声明之后就可以用。包括其它已导出但无文档的函数,只要有正确的原型都可以使用。 2.这个函数对应的ID是由当前版本的系统决定的,在ntdll.dll中就决定了~ 所以通常做法就是从ntdll.dll中取得ID,然后在SSDT中读取 |
|
[求助]Hook消息时遇到困难,求教!
确实是消息判断的问题,试试WM_LBUTTONDOWN或其它标准鼠标消息 |
|
|
|
[求助]求助版主啊!~~~
[QUOTE=;]...[/QUOTE] 1.这个问题很普遍,自己百度去。 2.拦截关机函数ExitWindowsEx就行了。 给你个简单方案:写一Dll,Hook ZwQuerySystemInformation 和ExitWindowsEx,注入所有进程就行了。要想效果好的话用驱动吧,光是隐藏进程都够你玩的 |
|
[求助]怎么用驱动编木马
楼主够坦诚的 |
|
[求助]驱动 IRP_MJ_DEVICE_CONTROL
1.判断返回值是否为0xFFFFFFFF,是则无效。 2.同法,检测返回值或GetLastError取错误代码。 用微软的东西就多看看MSDN,打好基础 |
|
[求助][求助]zwqueryvirtualmemory
KeAttachProcess/KeStackAttacjProcess切换到目标进程上下文再查询 |
|
[求助]第一次写程序遇到难题,请指教(关于文件操作)
从缓冲区读到的第一个字符开始,使用memcmp做匹配验证即可,不匹配就将缓冲区指针移动一个字节,重复直至找到为止 |
|
[求助]驱动 IRP_MJ_DEVICE_CONTROL
检查一下你打开的驱动句柄是否有效,以及DeviceIoControl的返回值。如果这都没问题,再检察你的驱动吧 |
|
[求助]请教如何实现对驱动运行情况的检测
那就直接用Softice,Windbg,Syser之类的工具调试吧 |
|
[求助]动态加载驱动的问题,请大家帮忙,我是菜鸟
如果代码没错,可能跟你的驱动类型有关系,不是所有的驱动都可以在boot时加载 |
|
[求助]请教如何实现对驱动运行情况的检测
好像有个Driver Verify工具,或者自己加一些调试输出,或者调试 |
|
|
|
ShellExecute简单流程
如今驱动就像白菜,价格便宜量又足 |
|
[原创]关于在Ring0中读取/修改PEB
Ldr当然也是可以的 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值