|
|
[原创]DisablePatchGuard.sys
明显不可能支持win8 |
|
|
[求助]r3下调用NtSetInformationProcess的问题
ProcessBasicInformation是不可set的,只能query |
|
|
[求助]驱动DISPATCH_LEVEL下如何输出数据
用workitem或者自己写个守护线程 |
|
|
|
|
|
[讨论]类似震网病毒所用的内核漏洞是如何挖出来的?
这种东西不是挖的,是nsa让微软在驱动里留的后门 |
|
|
[求助]如何HOOK进程降低cpu占用率?
JobObjectCpuRateControlInformation不会杀进程 |
|
|
[求助]如何HOOK进程降低cpu占用率?
将程序放入job中(assignprocesstojobobject / setinformationjobobject等),可以精确控制和设定程序所能使用的CPU比率 |
|
|
[讨论]说说pc hunter等ARK扫描到的KiFastCallEntry 1字节hook
KiEnableFastSyscallReturn KiDisableFastSyscallReturn KiRestoreFastSyscallReturnState |
|
|
[求助]通过csrss.exe获取句柄,ObjectTypeNumber参数没有等于5的啊求助啊
这个id是按系统启动时创建对象类型(object type)的顺序的编排的,不同的系统不一样,例如假设xp顺序是file \ device \ symbolic link \ thread \ job \ process, 那么process就是5,如果win7在中间插一个,假设是file \ device \symbolic link \ driver \ thread \ process , 那么process就是6了 所以通过id来判断是不通用的,当然,你也可以自己取不同的系统id是什么,但是一来这样很麻烦,二来对于楼主的水平也不现实 所以比较笨的一个办法是你其实可以不判断哪个类型,全部duplicate过来,然后对那个句柄用你想要用的操作(比如terminateprocess? readprocessmemory),如果失败了说明就不是进程句柄了 |
|
|
[求助]win7的非管理员用户如何打开驱动设备?
如果你的device没做任何特殊设置,直接用IoCreateDevice创建的(不是用IoCreateDeviceSecure),那么默认是所有用户都可以打开的 |
|
|
[求助]win7的非管理员用户如何打开驱动设备?
createfile是否成功,主要开device的acl如何设置,以及irp_mj_create如何处理请求。 如果acl设置的是允许everyone或允许user的,而且create dispatch也没拦截(比如QQ的驱动可能在这里检查是不是自己的驱动通讯),一般就可以打开 |
|
|
[原创]缓冲区溢出漏洞exploit在当下遇到的绝境
参数通过寄存器传递,这个找操纵reg的gagets就可以了。很简单 |
|
|
[求助]怎么添加启动项而不被360提示或者拦截
这是绝对不可能的 |
|
|
[讨论]进程句柄不超过226传说
单个进程能拥有的句柄数,同三级表及其中某些位的占用有关,一般来说win8以前可以有一千多万个,win8及以后被占了一些,只有8百万左右了 当然,进程不一定就能沾满这个句柄数,因为这个数量还和内存配额有关,如果已经有其它进程占用了大量句柄,那么就无法达到这么多句柄数 |
|
|
[求助]如何能够准确识别恶意文档所使用的漏洞编号
把virustotal上的杀软都装一遍 |
|
|
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
勋章
兑换勋章
证书
证书查询 >
能力值
