|
如何通过函数指针获取函数名呢?
SSDT名字..NTDLL.....就OK咯 |
|
如何通过函数指针获取函数名呢?
看这个地址落在哪个DLL内.......遍历这个DLL的导出表.....看哪个函数的地址==你的地址.... |
|
[好书推荐]Windows 内核情景分析--采用开源代码ReactOS(上、下册)
到这里才发现现代操作系统根本用不到分段。 应该是分段的功能弱化了...用还是有用的...但未来的OS还会不会用就不知道了... |
|
[好书推荐]Windows 内核情景分析--采用开源代码ReactOS(上、下册)
这本书....怎么说呢...应该属于代码解释类型的...不是实用类型的..涉及的范围算比较广但却很少深入..当然那几章是这样..不知其他章节怎样...因为我们一般看WRK..NT代码都想从中得到一点有用的信息或者摘点有用的代码....当然理解代码是第一步.....有钱买本还是不错的.. |
|
|
|
[分享]程序员用的主动防御
下了代码..说一声...THX |
|
[求助]怎么取得本sys的内存范围?
又是怎么区分这个中断是否是本sys造成的? 因为是缺页..属于异常....发生异常时CPU会把引起异常的指令的地址EIP压栈..你可以根据这个EIP判断是否在你的驱动范围内....你可以从你的_DRIVER_OBJECT中获取相关信息... |
|
[求助]驱动的内存访问异常能否捕获?
提供点信息... 当发生故障时,CPU会在栈中压入一个"错误码"..可以用错误码来判断....U/S表示发生故障时CPU的RING...U/S == 1--->>>RING3/ W/R表示对该地址的操作..W/R = 1-->>WRITE 否则是READ....最重要的P位..1表示保护故障,0表示缺页,我们可以通过P位来判断.. 你看是保护鼓掌还是缺页自己判断下......返回是修改EIP..跳过那个XX地址就可以了...我没试过..你试下.. |
|
[求助]驱动的内存访问异常能否捕获?
应该是....内核内存的异常将中断到INT 2E.....INT 2E判断是否有KERNEL DEBUGGER...没有的话就BSOD...个人猜测.. |
|
|
|
[求助]请问怎样才可以枚举system中线程并得到其启动地址
XP 上.... nt!_ETHREAD +0x220 ThreadsProcess : Ptr32 _EPROCESS +0x224 StartAddress : Ptr32 Void +0x228 Win32StartAddress : Ptr32 Void 不过要多考虑操作系统版本...还是API兼容点.. |
|
[原创]关于内核定时器,DPC,线程的使用
我是来支持的.... |
|
[分享]我的驱动学习笔记
NT5.0 的代码哪里有下载 |
|
[求助]Hook ZwQuerySystemInformation 总是蓝屏
ZwQuerySystemInformation OUT PVOID SystemInformation, 如果你先不调用原来的...SystemInformation可能没什么东西.... 你先调用原先的ZwQuerySystemInformation看看 ----------------------NEW 可能 Zwq就是你调用原来的了..那是我弄错... |
|
[求助]请问怎样从key handle 获取注册表项的完整路径
感受颇深啊....稳定,文档... |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值