|
[已解决] 怎么设置应用程序用system账号开机自启?
谢大佬回帖,一会儿去试试这段代码。
最后于 2022-4-13 12:40
被碧水秋沙编辑
,原因:
|
|
[已解决]驱动内核态怎么调用应用层的函数?
666, 又学到了,马上从github上把msdn实例代码爬下来了,有好多例子可以研究了 |
|
|
|
[已解决]驱动内核态怎么调用应用层的函数?
ookkaa minifilter啊,自带通讯,内核层发信息给用户层,用户层来写规则,传结果给驱动就行了,还自带同步机制666,谢大佬指点,还没搞过minifilter,我来研究一下,有问题再来请教。 |
|
[已解决]驱动内核态怎么调用应用层的函数?
wx_0xC05StackOver 你这个还是用r0 r3通讯做吧 直接call太麻烦了 我也想啊。。。搞了好几天了,同步机制上遇到一些问题没法解决。大概情况是DeviceIoContorl的控制码处理流程(IOCTL_READ、IOCTL_WRITE)和PsSetCreateProcessNotifyRoutineEx的分派函数事件同步机制有冲突。 PsSetCreateProcessNotifyRoutineEx的分派函数里面只要一调用KeWaiForSingleObject就把整个驱动程序都挂住了,即使在IOCTL_WRITE里面KeSetEnvet也无效。 但是反过来在IOCTL_READ中KeWaiForSingleObject,在PsSetCreateProcessNotifyRoutineEx分派函数中KeSetEvent倒没问题可以跑通,所以现在只做到了可以在R0把进程路径传回给R3,但是R3的Validate结果不能传回给R0,因为此时R0的PsSetCreateProcessNotifyRoutineEx分派函数正在调用KeWaitForSingleObject等待接收R3返回的校验结果,把整个驱动都给挂住假死了,导致ICTL_WRITE里面的KeSetEvent信号放行PsSetCreateProcessNotifyRoutineEx无法执行,进而一直陷入僵死状态。。。大概就是这么个情况,大佬们有啥意见不?
最后于 2022-3-31 23:49
被碧水秋沙编辑
,原因:
|
|
[求助]小菜求助各位前辈:请问Ollydbg怎么标记出全部已分析的函数?
哇~~~ 图文并茂,感谢楼上各位朋友指点!祝大家在新的一年里财源滚滚福星高照啊~~ 哈哈 |
|
[求助]小菜求助各位前辈:请问Ollydbg怎么标记出全部已分析的函数?
Ctrl-R可以查出来全部引用这个函数的地方。不过能否给它重命名呢?老是面对着一堆函数地址表示的名称不太习惯(特别是函数数量多的时候,用地址去表示每个函数太累眼睛了),最好分析完一个函数之后可以给它重命名。 |
|
|
|
[求助]&[讨论]ASPack变形壳,求教剥壳困惑
汗...才看到是ASProtect 2.3 SKE build 05.14 Beta. 请问peeler大哥是用什么查的壳?我的PEid显示的是Aspack 2.12 我脱的过程中就发现有很多指令跟ASProtect类似,但是又不完全一样,按着脱Asprotect的方法也尝试过了, 也用那个传说中很强大的脱全版本Aspro的IATxxxx.osc脚本试过,均以失败告终. 期待楼下可以解答一下怎么脱ASProtect 2.3 SKE build 05.14 Beta |
|
[求助]&[讨论]ASPack变形壳,求教剥壳困惑
peeler大哥牛人啊! 想来我学习脱壳也有半年多时间了,现在一般的常规壳也差不多都能手脱,但是这个壳我整整剥了两天居然连一点思路都没有... peeler大哥居然几分钟就搞定了...瞻仰一下... 我决定以peeler大哥为学习的榜样....以后还请多多赐教. |
|
|
|
[推荐]DOS下验证类软件破解——新思路
首度发帖, 支持楼主~~~ |