|
[求助][求助]利用PsSetCreateProcessNotifyRoutine 从结构USER_PROCESS_PARAMETER取得的结果有异常
这个写法够山寨的。。。实际是要判断User parameters里的flags决定是不是已经normalize 了,具体看源码 |
|
[求助]ZwCreateUserProcess怎么创建一个挂起的进程
呵呵,他说的是hook后的问题。。。 @楼主 问题都描述不清楚怎么来提问啊 你应该是说hook后怎么修改参数让他暂停的问题吧,这是做不到的 因为CreateProcessInternal流程如果判断上层函数没有设置suspend,就会主动调用NtResumeThread,而对NtCreateUserProcess来说,就如他上面讲的,默认就是传入suspend参数的 所以你要暂停它,要么hook CreateProcessInternal/createprocess修改上层参数,要么hook ntresumethread阻止他启动 但是这样一样解决不了你remote thread的问题,你是要注入services进程吧(又是问题不说清),跨session注入不做处理是调用不了createremotethread的,可以看看论坛里的跨session注入老帖 |
|
[推荐]分享一个x64内核符号枚举代码 50行 简洁易懂
何必百度。。。看你的vs目录下就有diasdk和samples。。 |
|
[推荐]分享一个x64内核符号枚举代码 50行 简洁易懂
Msdia比dbghelp好用多了啊 |
|
[原创]旧代码分享:绕过卡巴斯基主动防御,加载驱动,unhook所有SSDT&Shadow SSDT
beep还威力大。。当时也早就被干得不行了。。就这三个人。。 我记得还是老v的方法吧,换个名字都不会 |
|
[讨论][求助]IRQL被弄到了255
多看看源码就理解了,系统Trap0e检测到中断关了就会set irql=0xff,所以你后面会看到这个结果 |
|
[讨论][求助]IRQL被弄到了255
Irql 255,一般是你cli了之后访问了分页或无效内存 |
|
[讨论]现在到底有没有开机自启动的办法
楼主自己装成这个样子还要求别人不装? |
|
[求助]win8.1下的SSDTSHADOW HOOK = =
强大的代码。。。 |
|
[求助]64位内核ZwAllocateVirtualMemory失败
这个问题本区有贴解释过的,自己找找。 原因是image notify调用前当前线程已经持有进程地址空间锁;再调用需要此锁的allocatevm,就会死锁 Image notify里不要瞎敢Allocate vm或者什么改导入表注入的蠢事,实在要干可以搞个workitem干 |
|
|
|
[求助]如何查看运行中的xp系统是否以debug模式启动
可以使用NtQuerySystemInformation(SystemKernelDebuggerInformation) 来获取,返回KdDebuggerEnabled和KdDebuggerNotPresent。详见wrk 也可以使用NtSystemDebugControl(需要sedebug权限)来探测,使用SysDbgBreakPoint 如果没有开启调试器,则会返回STATUS_UNSUCCESSFUL 当然,其实还可以通过注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 下SystemStartOptions 注册表,检查是否含有"DEBUG"\"CRASHDEBUG"字样,来看看当前系统是否以DEBUG模式启动。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值