|
|
|
[求助]钩住NtOpenProcess后的替换函数
感谢,分析得很好啊.学到很多知识. 逆向成熟的HIPS,这个恐怕太难了吧. 那些软件的作者那么厉害,一定会用VM或壳把SYS保护起来的 我现在很菜,没这个能力 上次用IDA反一放火墙驱动,就搞得我晕头转向的... |
|
[求助]钩住NtOpenProcess后的替换函数
我把判断的条件改为了 if( RtlCompareMemory(ProcessNameToOpen, "TTPlayer.exe", 12) == 12 && RtlCompareMemory(ProcessName, "svchost.exe", 11) != 11 ) return STATUS_ACCESS_DENIED; 也就是加入了允许svchost打开千千静听,结果发现可以播放了. 其他程序的窗口也可以显示出主题了. 但是不禁有一个疑问,对svchost放行,岂不是会招来漏洞吗? 恶意程序可以注入svchost,然后再OpenProcess. 所以说,对svchost放行,这个做法似乎不好啊. 但是好像如果不对svchost放行,被保护的程序就不能正常工作了. ---------------------------------------------------------- 不知道我想的对不对,有完美的判断方案吗? |
|
|
|
|
|
|
|
|
|
|
|
[求助]请教对PE文件中几个数据的理解
to 书呆彭: 我是这样理解IMAGE_SECTION_HEADER结构中的几个成员的。 VirtualSize:节的内存镜像的大小(没有对齐) SizeOfRawData:节的文件镜像的大小(按照OptionalHeader中的FileAlignment对齐) 这样理解对吗? 如果以上理解正确的话,怎么才可以从PE文件中得知“节的文件镜像的大小(没有对齐)”呢? |
|
|
|
[求助]请教对PE文件中几个数据的理解
“听说”不太靠谱吧,我们学东西需要扎实啊。 |
|
[求助]为什么OD老是“使用Shift + F7/F8/F9来忽略异常”
不搞个清清楚楚,我不甘心啊。 |
|
|
|
[求助]怎么保存OD里的注释和断点信息?
哦,多谢书呆彭了。 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值