|
|
|
|
|
|
|
[建议]大牛们,放点猛料出来吧!日子太无聊了
我爆个料,楼下的木有JJ |
|
[求助]在驱动中如何删除共享文件夹里的文件呢
路径要搞对 |
|
[讨论]进程监控蓝屏问题
蓝屏不知自己调,不如回家去养猪 |
|
|
|
挂到Csrss后出现INVALID_PROCESS_ATTACH_ATTEMPT
读完之后unstackattach |
|
[求助]为什么每次都蓝屏??
呵呵~~~~~~~ |
|
|
|
[讨论]如何让另一个线程产生异常?
NtQueueApcThread |
|
[求助]多核下取IDT
基本各核心上IDT都是一样的~担心不一样的话可以使用设置亲和性或者SET PROCESSOR DPC的方式读取~ |
|
[原创]第1题_jwh51
100分==== |
|
[求助]为什么每次都蓝屏??
蓝屏不知自己调,不如回家去养猪 |
|
[求助]关于线程起始点的模块问题
ZwQueryVirtualMemory不通用啊~用PEB吧,或者枚举SECTION对象~ |
|
挂到Csrss后出现INVALID_PROCESS_ATTACH_ATTEMPT
win32k.sys在session空间中~因此要ATTACH后访问~ |
|
[原创]第四题,论坛ID:xsjs
是这样的,因为addr起始处为int 2eh对应的地址,从这里到ntoskrnl.exe的空间都是已经分配的,都属于ntoskrnl.exe. 如果出现页被置换出内存的话,我是这样考虑的: 当属于ntoskrnl.exe的某个页被置换出内存,而又需要执行这个页上的代码时,实际情况是不可能蓝屏的.也就是说此时产生缺页中断,中断例程会将页读入内存. 基于这样的考虑,我觉得在访问属于ntoskrnl.exe的空间时都不会出现蓝屏,因为这些内存都是分配过的,要么在物理内存中,要么在硬盘上. 我的实际测试过程也没有出现错误. ==== 某些版本的ntoskrnl体内会有多块无效内存,例如某些PAE版本的ntkrnlpa.exe |
|
[原创]第四题,论坛ID:xsjs
while(addr>0x7fffffff){ char *MZ=(char *)addr; if(MZ[0]=='M'&&MZ[1]=='Z'){ //DbgPrint("ntoskrnl.exe or ntkrnlpa.exe is based at %x",addr); break; } addr=addr-0x1000; } 这个算法碰到无效页就会蓝屏 搜索函数算法貌似也有问题~ |
|
[原创]第五题,论坛ID:xsjs
100分======= |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值