|
|
|
[求助]哪位大大告诉我怎么确定PE文件长度
不学PE结构想搞出来还真不是很容易啊~ |
|
|
|
[讨论]旧帖重拾,这段代码有没问题?
这个明显是修改了本进程中的,对别的进程不起作用。把以上代码放在DLL中然后注入每个进程就可以全部监控了。 |
|
|
|
[原创]修改已加载DLL的模块名和路径
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER ... +0x11c VadRoot : Ptr32 Void +0x120 VadHint : Ptr32 Void 是这个吗?好像是二叉树? |
|
[原创]修改已加载DLL的模块名和路径
大米觉得我的代码风格怎么样? |
|
[求助]CCDeath教程的疑问
用MakeSys吧 |
|
[原创]修改已加载DLL的模块名和路径
恩,骗了好多工具,就是过不了IS的ZwQueryVXXX |
|
[原创]修改已加载DLL的模块名和路径
老V现身了~ |
|
[求助]jmp 71A33138的机器码是多少呢?貌似0E9h,38h,31h,0A3h,71h写进去内存后,地址就不对了。
不计较长度又不想计算偏移,就用这个好了 |
|
[求助]WINAPI HOOK (修改前五个字节,JMP跳转法)为什么是五个字节?
5是跳转指令(jmp XXXXXXXX)的长度而已 根据跳转范围的不同,跳转指令有几种不同的写法,长度也就不同. 0xE9的跳转方式,指令长度就是5个字节. 其它几种跳转方式,你查一下Intel指令手册就知道了. |
|
[原创]Ring3下Inline Hook MessageBox(演示)
如果ring0下hook的话,我是这么想的,设置LoadImageNofity,然后检测到模块载入后就检查其输入表是否有user32.dll,若有再判断是否有MessageBox,若有就hook之.最多也就是一个在进程空间中,一个在内核空间,读写和修改方式不太一样而已吧,不过应该也差不多. 不知说得对不对?还没实践~ |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值