|
[讨论]驱动编程中如何根据PID获得进程名和进程全路径?
应该启动icesword , darkspy , csrwalker, rootkit unhooker , pwalker等各类ARK,并且通过直接操作显存截取显示的进程列表,然后通过图像识别识别出各个ARK得出的路径列表,完了综合对比获得路径 |
|
[讨论]驱动编程中如何根据PID获得进程名和进程全路径?
ZwQueryInformationPrcoess |
|
[求助]请教一个注册表路径转换的问题!
status=NtOpenProcessTokenEx(PrHandle, STANDARD_RIGHTS_READ | TOKEN_QUERY,OBJ_KERNEL_HANDLE,&TokenHandle); if ( !NT_SUCCESS( status )) return status;//NtOpenProcessTokenEx执行失败 ================== 使用ZwOpenProcessTokenEx 调用Nt系列函数而上个模式是User Mode的话,不能对函数传入kernel mode buffer |
|
[讨论]搞Windows开发的人员有没有必要看一下这本书?
回家把MSDN全部看一遍消化掉比看什么书都强 |
|
[求助]CreateFile error code 317
define ERROR_MR_MID_NOT_FOUND 317 |
|
[讨论]请问这三句指令在病毒中有什么作用?笔试题
同楼上。。。。。。。 |
|
|
|
[求助]驱动怎么获取进程所属的用户
// Largely based off of undelete.c from sysinternals BOOLEAN GetUserSIDFromProcess(EPROCESS *pProcess, UNICODE_STRING *pusSID) { NTSTATUS status; ULONG RetLen; HANDLE hToken; PTOKEN_USER tokenInfoBuffer; PACCESS_TOKEN Token; Token = PsReferencePrimaryToken(pProcess); status = ObOpenObjectByPointer(Token, 0, NULL, TOKEN_QUERY, NULL, KernelMode, &hToken); ObDereferenceObject(Token); if(!NT_SUCCESS(status)) return FALSE; // Get the size of the sid. status = ZwQueryInformationToken(hToken, TokenUser, NULL, 0, &RetLen); if(status != STATUS_BUFFER_TOO_SMALL) { ZwClose(hToken); return FALSE; } tokenInfoBuffer = (PTOKEN_USER)ExAllocatePool(NonPagedPool, RetLen); if(tokenInfoBuffer) status = ZwQueryInformationToken(hToken, TokenUser, tokenInfoBuffer, RetLen, &RetLen); if(!NT_SUCCESS(status) || !tokenInfoBuffer ) { DBGOUT(("Error getting token information: %x\n", status)); if(tokenInfoBuffer) ExFreePool(tokenInfoBuffer); ZwClose(hToken); return FALSE; } ZwClose(hToken); status = RtlConvertSidToUnicodeString(pusSID, tokenInfoBuffer->User.Sid, FALSE); ExFreePool(tokenInfoBuffer); if(!NT_SUCCESS(status)) { DBGOUT(("Unable to convert SID to UNICODE: %x\n", status )); return FALSE; } return TRUE; } |
|
|
|
[原创][0Day]Windows 2000/XP(全补丁)内核任意地址写入漏洞
排除ZwSystemDebugControl,PhysicalMemory ,NtLoadDriver,NtSetSystemInformation,pagefile 你还能进入RING0吗?呵呵 |
|
[原创]为大家提供工作机会呀
我失败了,我没有人肉到 |
|
[原创]禹盾2.05源码更新
拦截点少得可怜 已有的拦截点,漏洞、BUG层出不穷 建议你还是再学习几年写东西才叫“HIPS"吧 帮你找了一些: line 730 拒绝服务 line 793 拒绝服务 line 849 拒绝服务 line 900 拒绝服务 line 958 拒绝服务 line 959 (PID+1就绕过了) line 988 好好看看OpenThread是怎么实现的吧 line 988 拒绝服务 line 989 (PID+1也过了) line 1001 :create section and write就绕过了 |
|
[求助]驱动里面区段的保护属性还有效吗?
可以对指定地址build mdl再写入,或者关闭cr0中的CR0_WP位 |
|
[求助]为什么SYSCALL_INDEX宏取不到ZwReadVirtualMemory的index值?
不要试图从Zw*函数中取得SSDT INDEX,不管是NTDLL还是NTOSKRNL 这样在VISTA的某些情况下程序会出错 硬编码是比较好的方式 |
|
[求助]驱动里面区段的保护属性还有效吗?
开启了内核内存写保护就不可写了 是否开启和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management内某些键值有关 具体参考windows internals 4th |
|
[求助]求一本书Zen of Code Optimization
禅。。。。。。 |
|
[原创]浅析Mj前辈的内核任意地址写入漏洞
NtUserSetInformationThread时InformationThread是一个结构 第一个域是NewFlags,第二个是FlagsMask 需要将FlagsMask设为0xFFFFFFFF才能成功写入NewFlags |
|
[原创]浅析Mj前辈的内核任意地址写入漏洞
if ( NtUserSetInformationThread(ThreadHandle, 1, pValue, 8) >= 0 ) 这句代码是错的 仔细看看NtUserSetInformationThread吧,为什么InformationLength是8? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值