|
[讨论]那些年搞驱动的那些坑_欢迎补充
hook swapcontext是可以解决那个代码问题的。实际操作起来有点囧,其实这个还是靠具体hook时的技巧了。 |
|
[讨论] win7 USB 插拔 有系统记录吗? 进来讨论一下
LastWriteTime是key的一个属性,通过RegQueryInfoKey 可以获取到 http://msdn.microsoft.com/en-us/library/ms724902(VS.85).aspx 注册表的位置我记得好像是在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR下 记录了插入的设备名字,厂商,类型(FriendlyName)等,根据键的LastWriteTime应该可以知道最后一次插入时间。 |
|
[讨论] win7 USB 插拔 有系统记录吗? 进来讨论一下
注册表里有曾经加载过的USB设备的记录,读取对应键的LastWriteTime(这个没有现成工具,也许RegistryWorkshop可以?),就可以枚举加载过的设备和最后加载时间。 |
|
[讨论]NtCreateThreadEx 注入问题
ring0注入还是ring3注入?如果ring3的话有个隔离保护 |
|
[分享]老文章系列:APC注入DLL的梗
学习代码~ |
|
[求助]win8.1 bypass uac 和win7,win8有何区别
就是说不需要第三方的卸载程序,懂了吗? |
|
[求助]win8.1 bypass uac 和win7,win8有何区别
仔细看下就知道不需要啊~ |
|
[求助]接上贴求教hook SSDT
你自己看看我贴的那篇eva的文章,再稍微逆向下就知道怎么弄了: 从AttributeList中就可以获取ThreadId: 大概的伪代码: for (i = 0 ; i < AttributeList->Length / sizeof(NT_PROC_THREAD_ATTRIBUTE_ENTRY) ; i++) { if (AttributeList->Entry[i].Attribute == 0x10003) tid = *Attribute->Entry[i].Value } 当然,这里面还需要你自己做一些容错的处理代码。 |
|
[求助]win7 64位下提权失败
你这个其实不是提权代码,是把已经拥有但被DISABLE的权限打开的代码,如果原本没有这个特权,是打不开的。 |
|
[求助]接上贴求教hook SSDT
cvcvxk明明写的是PVOID StartContext(实际不是他搞出来的,是zzzevazzz:http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7),你怎么就那么聪明改成PCONTEXT了啊 那个叫StartContext啊,不是ThreadContext,是Thread Parameter啊。 话说楼主你光会写代码,一点点调试、DUMP分析都不会还是回家卖包子吧只靠乱猜这写驱动是不成的了。 稍微ida一下win7的CreateRemoteThread就能看到NtCreateThreadEx的第5个参数就是CreateThread/CreateRemoteThread的 lpStartAddress参数 第6个参数是ThreadParameter,就是CreateThread/CreateRemoteThread的 lpParameter参数 话说为什么要让ring3函数操作context啊,不需要啊。 我看你识别eax是不是还是照搬xp上的方法拦截线程起始地址啊,移植的时候要留心看啊,这里不需要eax了啊,直接就有lpStartAddress了啊,刚刚滴啊,已经填好了啊,不需要看什么PCONTEXT结构啊。 |
|
[求助]Windows驱动中如何使用LIST_ENTRY结构
本来也没啥,RemoveEntryList就是个FORCEINLINE的简单函数。。。 FORCEINLINE BOOLEAN RemoveEntryList( __in PLIST_ENTRY Entry ) { PLIST_ENTRY Blink; PLIST_ENTRY Flink; Flink = Entry->Flink; Blink = Entry->Blink; Blink->Flink = Flink; Flink->Blink = Blink; return (BOOLEAN)(Flink == Blink); } |
|
[求助]Windows驱动中如何使用LIST_ENTRY结构
谁说没提供,RemoveEntryList就可以移除特定节点啊,不看MSDN你看看源码也知道啊。 帮你写个吧: for (entry = ListHead.Flink; entry != &ListHead;entry = entry->Flink) { data = CONTAINING_RECORD( entry, XXX_LIST, ListEntry ); if (data == datatoremove) { RemoveEntryList( entry ); entry = entry->Blink; } } |
|
[求助]win7,32位 hook ssdt 的奇怪问题
vista开始系统主要使用 NtCreateThreadEx |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值