|
[讨论]各位,这本书如何啊 ?
入门很不错~~ |
|
内存驱动暴力搜索
LZ讲得这么隐讳干什么。。。。。 lkd> dt _driver_object 0x824738e0 nt!_DRIVER_OBJECT +0x000 Type : 4 +0x002 Size : 168 这个0x002 Size : 168 是什么大小,为什么是固定的呢? |
|
[原创]关于在Ring0中读取/修改PEB
先占座,上次的问题是我提得,PEB是可以读和改的,但是ldr还不知道能不,我测试下先,谢谢小伟阿~ |
|
[原创]反调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......
太精彩了,内容很丰富阿,我觉得LZ做完后可以出份chm~~ |
|
[原创]修改已加载DLL的模块名和路径
KeAttachProcess以后, __asm{ mov eax,fs:[0x124] //ETHREAD mov eax, [eax+44] //EPROCESS mov eax, [eax+0x1B0]//peb mov peb, eax } 我随便写得,你试一下,我当初也是想KeAttachProcess/KeStackAttackProcess切换到指定进程,然后挂了。。这种方法连PEB都读不出 不用这种方法,直接PsLookupProces**yProcessId得到EPROCESS,然后找PEB, 这种方法可以读出PEB,但是在想读ldr就挂了,不解中。。。。。。 郁闷,等待高手解惑ing...... http://hi.baidu.com/hljleo/blog/item/838cce082a2b2436e92488d9.html 去看看这篇文章和评论。 |
|
[原创]修改已加载DLL的模块名和路径
不知道LZ有没试过在ring0下改其它进程的PEB,是行不通的。 |
|
[求助]内核驱动中不能内联汇编吗?
应该是mov eax,fs:[30h]这条语句的问题,但我不知道ring0下FS发生了什么变化,知道的帮我补一下吧 |
|
[求助]内核驱动中不能内联汇编吗?
[QUOTE=sudami;491123]R0下你用 __asm{ mov eax,fs:[30h] } 你很强大。。。 [/QUOTE] 大米,解释下原因先,是不是与汇编无关 |
|
[作品提交]ShellCode辅助工具
很实用阿~收藏 |
|
[推荐]加强型破解用记事本
3楼的也共享下吧~ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值