|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
xp下和2003 要hook NtCreateProcessEx,以前在别的人的文章里说的。 |
|
[求助]undocumented windows nt中ssdt hook
已经解决了,把文件换成.c 就可以通过编译了,C++类型转换比较严格吧,可能。 |
|
[求助]ntddk.h中定义的函数,怎么看实现
谢谢,ImHolly, 我把你给的命令都实践了下,但是+0x028 FastIoDeviceControl : (null) 从你给的命令,我知道怎么查地址了,但是这个是空,这个要怎么看他的反汇编代码? 我看filemon程序中hook这个函数后,有些输出后,直接调用的,那它调用的函数,实现过程我能查看到么 |
|
[求助]请问ZwCreateSection函数的定义在哪一个头文件里?
msdn 里说在wdm.h 里,我帮你验证了,有的。 |
|
[求助]ntddk.h中定义的函数,怎么看实现
在wdm.h 中找到了定义,但是在windbg 中用u命令查看,还是不行。 FAST_IO_DEVICE_CONTROL ( __in struct _FILE_OBJECT *FileObject, __in BOOLEAN Wait, __in_opt PVOID InputBuffer, __in ULONG InputBufferLength, __out_opt PVOID OutputBuffer, __in ULONG OutputBufferLength, __in ULONG IoControlCode, __out PIO_STATUS_BLOCK IoStatus, __in struct _DEVICE_OBJECT *DeviceObject ); typedef FAST_IO_DEVICE_CONTROL *PFAST_IO_DEVICE_CONTROL; 它是_FAST_IO_DISPATCH 数据结构中的一个成员,可以用dt 命令查看此数据结构,但是怎么查看数据结构的一个成员(指针)所指的函数的汇编码。不知道用什么命令找到这个数据结构的内存地址,然后找到指针值,再u估计就可以了。用dd _FAST_IO_DISPATCH这个不行,说Couldn't resolve error at '_fast_io_dispatch' |
|
关于文件系统监控:ssdt hook和文件系统过滤驱动 本质区别
,感谢楼上各位的指导,明白一点了,刚才看到一个帖子是《跟踪NtReadFile系统服务的执行过程》,好像是achillis 说的那样。多谢各位了,谢谢伤遗忘,给出详细的解说。 |
|
关于文件系统监控:ssdt hook和文件系统过滤驱动 本质区别
有点不解的是,为什么说文件系统驱动比 ssdt hook底层一些。谢谢楼上的各位。 |
|
[征集翻译]windbg入门教程(己完成,感谢arhat翻译!)
译文叫 通往windbg的捷径 ,在本论坛搜索可以找到 http://bbs.pediy.com/showthread.php?t=24077&highlight=windbg+%E9%80%9A%E5%BE%80+%E7%9A%84%E6%8D%B7+%E6%8D%B7%E5%BE%84+%E5%BE%84 |
|
|
|
跪求汇编指令和机器码的对照表
学习了 |
|
[下载]MIRC.v6.34.Incl.KeyGen.and.Server.Patch-F4CG
谢谢楼主,这个下载真是很有意思,一开始总是下的不对,无法解压,只有13k,后来去那个网站看了,要等30秒,才可以下。呵呵,很有用,谢谢 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值