|
[下载]《[专题四]Rootkit的学习与研究》文章整理下载
上传到纳米盘之类的免费网盘更好点 |
|
[原创]初学驱动——绕过DNF的Inline Hook
好好看看 RKU 都可以扫出来 |
|
[原创]初学驱动——绕过DNF的Inline Hook
ring3 层的np的HOOK 你去掉没 |
|
|
|
|
|
[求助]如何查找pop pop ret地址
pop dword ptr [eax] 之类的汇编语句 就 搜索 pop dword ptr [r32] od 右键 有个搜索的东西,里面就有搜索所有的汇编语句 |
|
|
|
[原创]初学驱动——绕过DNF的Inline Hook
RKU之类的内核工具扫描下 |
|
[原创]初学驱动——绕过DNF的Inline Hook
看了楼主修复 CALL 和 JXX 的函数,狂晕了一下,这C不是一般难懂,下面来个ASM版本的 fixcode proc PCopyNtOpenProcess_addr:dword,PNtOpenProcess_addr:dword,PNtOpenProcess_Size:dword ;write by fixfix pushad mov edi,PCopyNtOpenProcess_addr mov ecx,PNtOpenProcess_Size mov esi,PNtOpenProcess_addr rep movsb popad pushfd pushad xor ecx,ecx mov eax,PNtOpenProcess_addr j: cmp PNtOpenProcess_Size,ecx jne @F popad popfd ret 12 @@: cmp byte ptr [eax],0e8h jne @f mov edx,dword ptr [eax+1] lea esi,dword ptr [eax+edx+5] mov edi,PCopyNtOpenProcess_addr add edi,ecx sub esi,edi sub esi,5 mov dword ptr [edi+1],esi add eax,5 add ecx,5 jmp j @@: cmp byte ptr [eax],0fh jne @F cmp byte ptr [eax+1],8Fh jg @F mov edx,dword ptr [eax+2] lea esi,dword ptr [eax+edx+6] mov edi,PCopyNtOpenProcess_addr add edi,ecx sub esi,edi sub esi,6 mov dword ptr [edi+2],esi add eax,6 add ecx,6 jmp j @@: inc eax inc ecx jmp j fixcode endp |
|
|
|
[原创]初学驱动——绕过DNF的Inline Hook
TX的驱动,完全可以这样 |
|
[求助]关于Asm语句
不是关键字,是作者定义的 |
|
[求助]detours库还是不会用
从来不用。。。。。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值