|
|
|
[求助]mickeylan老大的方法,我怎么就学不会,请大家赐教啊!
我想知道为什么DDDK/KmdKit4D编译驱动,同单元里定义的函数都不能随便用,一用就蓝,必须连接为_XXX@a模式 但是我用omf2d和rmcoff都不行,rmcoff提示我没有函数被导出,明明我导出了的 哦omf2d自己添加参数是可以转换,但是太麻烦,KmdKit4D就是为这个而设计的,但是我没搞懂rmcoff的用法 |
|
[原创]OD小插件1.1版 anit ssdt hook 与 inline hook
那就放个源码学习下吧,特别喜欢DELPHI的驱动 |
|
[新年礼物]加密与解密工具新年大礼包2009 DVD1
555可怜我硬盘都不怎么装得下了,快满了 |
|
[求助]硬件断点的问题
我本来就不是搞你们这行的,我是搞艺术设计的,爱好而已 我现在要断一个程序,断不下来,我能想到的原因就2个:我代码问题、程序清空了Drx 但是调试其他程序又正常,所以排除第一个 调试我的程序发现Drx又没被清空 百度了半天只有一个搜索结果,说是因为是其他线程进行的修改,所以断不下来 自己弄个程序试了下,果然不同的线程就断不下来 |
|
[求助]硬件断点的问题
还有个问题啊,硬件断点只对单个线程有效吧,怎么让他对所有线程都有效呢?难道要每个线程都去设置一次? |
|
[原创]发个小工具 实验产品
LZ给份代码吧,我也是用Delphi的,坚决不加入VC阵营,要不走寻常路,但是驱动一直没法下手啊,现在不知道IRP传递和处理部分怎么搞。我只想HOOK下NTOPENPROCESS,保护指定进程。 veninson@126.com LZ的sys不是DDDK写的?? |
|
如何获取模块的入口地址.
是要这个吗?或者是下面代码里定义了没用上的ModInfo.EntryPoint?忘了怎么获取ModInfo了,网上到处抄VC改的 uses psapi; Function GetModuleBase(mName: String):Dword; var Mods: array [0..1024] of HMODULE; ModInfo: TModuleInfo; cbNeeded, i: Dword; ModName: array[0..254] of char; begin if EnumProcessModules(hProcess, @Mods[0], SizeOf(Mods), cbNeeded) then begin for i := 0 to cbNeeded - 1 do begin if (Mods[i]<>0)and(GetModuleBaseName(hProcess, Mods[i], @ModName, SizeOf(ModName))>0) then begin GetModuleInformation(hProcess, Mods[i], @ModInfo, SizeOf(ModInfo)); if POS(LowerCase(mName),LowerCase(ModName))>0 then begin result := Mods[i]; Exit; end; end; end; end; result := 0; end; |
|
[求助]求Delphi里同CONTAINING_RECORD的写法
procedure HideModuleFromPEB(dllName: string); var hMod : THandle; Head,Cur : PListEntry; ldr : PPEB_LDR_DATA; ldm : PLDR_MODULE; begin hMod := GetModuleHandle(PChar(dllName)); asm MOV EAX,FS:[$30] //得到PEB结构地址 MOV EAX,[EAX+$C] //得到PEB_LDR_DATA结构地址 MOV LDR, EAX end; Head := @ldr.InLoadOrderModuleList; Cur := Head.Flink; //运行到这里Head.Flink=0xE0000000,ldr=241EA0,应该不对吧,哪里错了啊? repeat ldm := PLDR_MODULE(DWORD(@Cur.Flink)-DWORD(@Cur)); // ?????????? if DWORD(hMod)=DWORD(ldm.BaseAddress) then begin ldm.InLoadOrderModuleList.BLink.Flink := ldm.InLoadOrderModuleList.Flink; ldm.InLoadOrderModuleList.Flink.Blink := ldm.InLoadOrderModuleList.Blink; ldm.InInitializationOrderModuleList.BLink.Flink := ldm.InInitializationOrderModuleList.Flink; ldm.InInitializationOrderModuleList.Flink.Blink := ldm.InInitializationOrderModuleList.Blink; ldm.InMemoryOrderModuleList.BLink.Flink := ldm.InMemoryOrderModuleList.Flink; ldm.InMemoryOrderModuleList.Flink.Blink := ldm.InMemoryOrderModuleList.Blink; break; end; Cur := Cur.Flink; until Head<>Cur; end; |
|
[原创]暴力搜索内存枚举进程的学习笔记
同问,dbgview在vmware里什么消息都捕获不到,在实机正常情况连鼠标移动都有记录的,vmware里一片空白 |
|
[求助]关于小精灵的PEBundle跟到最后全是DB DB DB DB……
东西在这里,不知道有木有人愿意帮忙看下 http://www.olzhuan.cn/挖矿.rar 把DUMP出来的文件用OD打开看又有代码了,但是运行不了,提示A开头的8位数地址无法访问错误,Ollydump出来是VC6,LoadPE出来的又变成PEBundle了…… |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值