|
[原创]asm的魅力(一)
xor ebx,ebx push ebx push offset aa push offset GetModuleHandleA lea esp,[esp+4] jmp DWORD ptr [esp-4] aa: 当然不是复古,不要诬陷古人,像这种猥琐的调用函数,猥琐的设置返回地址……古人才不会这么猥琐…… |
|
[求助][求助]各位大牛!在od中何对所有跳转下断?
与单步跟没什么区别吧…… |
|
|
|
[求助]在DeviceIoControl中调用一个函数就无法启动该驱动
CTL的定义 DriverEntry中设置DeviceIoControl函数的代码 DeviceIoControl函数中调用自定义函数的地方附近的代码 |
|
[求助]在DeviceIoControl中调用一个函数就无法启动该驱动
你的意思是说在IoCtrl的派遣历程里调用了某一个你自己定义的函数,驱动就无法加载了? 果然莫名其妙……方便的话放出部分相关代码吧。 |
|
[求助]一个自定义宏错误与__LINE__相关
显然__LINE__是非常数。 在 push 指令里不能进行与运算,MyPush(123)是在编译时算出来的: __asm push 123 & 0xF7 004113C9 6A 73 push 73h |
|
[求助]求助关于鼠标钩子的问题(附源码)
WH_MOUSE_LL |
|
[求助]挂起了一个内核线程如何修改这个线程的状态?
直接改TrapFrame不行吗? +0x134 TrapFrame : Ptr32 _KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B +0x00c DbgArgPointer : Uint4B +0x010 TempSegCs : Uint4B +0x014 TempEsp : Uint4B +0x018 Dr0 : Uint4B +0x01c Dr1 : Uint4B +0x020 Dr2 : Uint4B +0x024 Dr3 : Uint4B +0x028 Dr6 : Uint4B +0x02c Dr7 : Uint4B +0x030 SegGs : Uint4B +0x034 SegEs : Uint4B +0x038 SegDs : Uint4B +0x03c Edx : Uint4B +0x040 Ecx : Uint4B +0x044 Eax : Uint4B +0x048 PreviousPreviousMode : Uint4B +0x04c ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD +0x050 SegFs : Uint4B +0x054 Edi : Uint4B +0x058 Esi : Uint4B +0x05c Ebx : Uint4B +0x060 Ebp : Uint4B +0x064 ErrCode : Uint4B +0x068 Eip : Uint4B +0x06c SegCs : Uint4B +0x070 EFlags : Uint4B +0x074 HardwareEsp : Uint4B +0x078 HardwareSegSs : Uint4B +0x07c V86Es : Uint4B +0x080 V86Ds : Uint4B +0x084 V86Fs : Uint4B +0x088 V86Gs : Uint4B |
|
[求助]ASProtect加了壳后很变态的问题
建议试试静态链接。选release,然后菜单栏-->项目-->xxx属性-->配置属性-->C/C++-->代码生成,把这里的运行时库改成MT。 |
|
[求助]有没有办法在程序启动时修改启动参数
监控进程启动过程,然后修改参数,比如Hook createprocess , 改cmdline,或者监控进程启动过程,去修改PEB里的Parameters |
|
[求助]内核下如何获得接收用户输入的那个线程
该函数我一开始试过了,但是在内核下调用总是返回0…… 硬编码测试的: _asm{ mov eax,0xbf820b9f //硬编码测试的 call eax; mov hwnd,eax; //hwnd总是0 } 而且我还特意在csrss.exe里开了个线程跑这段代码 |
|
|
|
[求助]内核下如何获得接收用户输入的那个线程
我就是为了获得这个notepad.exe…… |
|
[分享]彻底改掉进程名
但是InLoadOrderModuleList的第一个结构和InMemoryOrderModuleList的第一个结构不一样。 InLoadOrderModuleList的第一个结构的FullDllName记载了全路径,BaseDllName记载了进程名。而InMemoryOrderModuleList的第一个结构的FullDllName记载了进程名,BaseDllName为NULL。 看来还是遍历一遍比较彻底 |
|
[分享]彻底改掉进程名
原来如此!学习了! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值