|
|
[原创][POC]基于IO Packet隐藏文件和注册表,过磁盘解析和总线解析
膜拜MJ ing... |
|
|
[讨论]各位,这本书如何啊 ?
入门很不错~~ |
|
|
[原创]一种Object hook的思路和实现过程
还有这种HOOK怎么检查呢? |
|
|
[原创]一种Object hook的思路和实现过程
问大米个弱智的问题,你的代码中HOOK那个OkayToCloseProcedure的函数原型是什么得到的? 原来不是为NULL没有给出函数原型吗?,那你怎么知道 NTSTATUS fake_OkayToCloseProcedure( PEPROCESS Process OPTIONAL, PVOID Object, HANDLE Handle, KPROCESSOR_MODE AccessCheckMode ) 参数的? |
|
|
内存驱动暴力搜索
LZ讲得这么隐讳干什么。。。。。 lkd> dt _driver_object 0x824738e0 nt!_DRIVER_OBJECT +0x000 Type : 4 +0x002 Size : 168 这个0x002 Size : 168 是什么大小,为什么是固定的呢? |
|
|
[原创]关于在Ring0中读取/修改PEB
先占座,上次的问题是我提得,PEB是可以读和改的,但是ldr还不知道能不,我测试下先,谢谢小伟阿~ |
|
|
[原创]反调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......
太精彩了,内容很丰富阿,我觉得LZ做完后可以出份chm~~ |
|
|
[原创]修改已加载DLL的模块名和路径
KeAttachProcess以后, __asm{ mov eax,fs:[0x124] //ETHREAD mov eax, [eax+44] //EPROCESS mov eax, [eax+0x1B0]//peb mov peb, eax } 我随便写得,你试一下,我当初也是想KeAttachProcess/KeStackAttackProcess切换到指定进程,然后挂了。。这种方法连PEB都读不出 不用这种方法,直接PsLookupProces**yProcessId得到EPROCESS,然后找PEB, 这种方法可以读出PEB,但是在想读ldr就挂了,不解中。。。。。。 郁闷,等待高手解惑ing......  f87K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6Z5L8r3A6D9k6h3!0Q4x3V1k6T1L8r3!0Y4i4K6u0r3K9i4c8W2L8g2)9J5c8U0R3K6z5r3y4U0k6e0l9^5x3X3p5J5j5U0t1@1x3K6k6W2z5e0t1@1z5o6S2V1z5g2)9J5k6h3S2@1L8h3H3`. 去看看这篇文章和评论。 |
|
|
[原创]修改已加载DLL的模块名和路径
不知道LZ有没试过在ring0下改其它进程的PEB,是行不通的。 |
|
|
[求助]内核驱动中不能内联汇编吗?
应该是mov eax,fs:[30h]这条语句的问题,但我不知道ring0下FS发生了什么变化,知道的帮我补一下吧 |
|
|
[求助]内核驱动中不能内联汇编吗?
[QUOTE=sudami;491123]R0下你用 __asm{ mov eax,fs:[30h] } 你很强大。。。 [/QUOTE]大米,解释下原因先,是不是与汇编无关 |
|
|
[原创]VS2008、DDK XP和DDKWizard搭建驱动开发环境
弱弱的问下:VS2008要装好多大?我只装VC部分。 |
|
|
[原创][成果3.5]驱动和应用层的三种通信方式
这种总结归纳型文章对很多人都有帮助~~~非常感谢 |
|
|
[作品提交]ShellCode辅助工具
很实用阿~收藏 |
|
|
[推荐]加强型破解用记事本
3楼的也共享下吧~ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
勋章
兑换勋章
证书
证书查询 >
能力值
