|
HOOK HAL.dll中READ_PORT_UCHAR技术
hook READ/WRITE_PORT_XXX 其实就是hook 其中的in out 指令了 直接hook 狗的硬件中断,也可以达到效果。 |
|
|
|
请问:如何用汇编修改中断向量表呀,大概思路是怎样的?
Hook IDT 用sdit指令, :idt Int Type Sel:Offset Attributes Symbol/Owner IDTbase=8003F400 Limit=07FF 0000 IntG32 0008:804E0BFF DPL=0 P ntoskrnl!Kei386EoiHelper+0304 0001 IntG32 0008:804E0D7C DPL=0 P ntoskrnl!Kei386EoiHelper+0481 0002 TaskG 0058:00000000 DPL=0 P ntoskrnl!Kei386EoiHelper+056E 0003 IntG32 0008:804E115B DPL=3 P ntoskrnl!Kei386EoiHelper+0860 0004 IntG32 0008:804E12E0 DPL=3 P ntoskrnl!Kei386EoiHelper+09E5 0005 IntG32 0008:804E1441 DPL=0 P ntoskrnl!Kei386EoiHelper+0B46 0006 IntG32 0008:804E15BF DPL=0 P ntoskrnl!Kei386EoiHelper+0CC4 0007 IntG32 0008:804E1C33 DPL=0 P ntoskrnl!Kei386EoiHelper+1338 0008 TaskG 0050:00000000 DPL=0 P ntoskrnl!Kei386EoiHelper+166E 0009 IntG32 0008:804E2060 DPL=0 P ntoskrnl!Kei386EoiHelper+1765 000A IntG32 0008:804E2185 DPL=0 P ntoskrnl!Kei386EoiHelper+188A 000B IntG32 0008:804E22CA DPL=0 P ntoskrnl!Kei386EoiHelper+19CF 000C IntG32 0008:804E2530 DPL=0 P ntoskrnl!Kei386EoiHelper+1C35 000D IntG32 0008:804E2827 DPL=0 P ntoskrnl!Kei386EoiHelper+1F2C 000E IntG32 0008:804E2F25 DPL=0 P ntoskrnl!Kei386EoiHelper+262A 000F IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 0010 IntG32 0008:804E337F DPL=0 P ntoskrnl!Kei386EoiHelper+2A84 0011 IntG32 0008:804E34BD DPL=0 P ntoskrnl!Kei386EoiHelper+2BC2 0012 TaskG 00A0:00000000 DPL=0 P hal!.text+07E8 0013 IntG32 0008:804E362B DPL=0 P ntoskrnl!Kei386EoiHelper+2D30 0014 IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 0015 IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 0016 IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 0017 IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 0018 IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 0019 IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 001A IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 001B IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 001C IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 001D IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 001E IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 001F IntG32 0008:806EEFD0 DPL=0 P HAL!HalRequestIpi+0260 0020 Reserved 0008:00000000 DPL=0 NP 0021 Reserved 0008:00000000 DPL=0 NP 0022 Reserved 0008:00000000 DPL=0 NP 0023 Reserved 0008:00000000 DPL=0 NP 0024 Reserved 0008:00000000 DPL=0 NP 0025 Reserved 0008:00000000 DPL=0 NP 0026 Reserved 0008:00000000 DPL=0 NP 0027 Reserved 0008:00000000 DPL=0 NP 0028 Reserved 0008:00000000 DPL=0 NP 0029 Reserved 0008:00000000 DPL=0 NP 002A IntG32 0008:804E0417 DPL=3 P ntoskrnl!ZwYieldExecution+0F42 002B IntG32 0008:804E0522 DPL=3 P ntoskrnl!ZwYieldExecution+104D 002C IntG32 0008:804E06C7 DPL=3 P ntoskrnl!ZwYieldExecution+11F2 002D IntG32 0008:B77A1B5C DPL=3 P DbgMsg!.text+07DC 002E IntG32 0008:804DFEA6 DPL=3 P ntoskrnl!ZwYieldExecution+09D1 002F IntG32 0008:804E325A DPL=0 P ntoskrnl!Kei386EoiHelper+295F 0030 IntG32 0008:804DF560 DPL=0 P ntoskrnl!ZwYieldExecution+008B 0031 IntG32 0008:804DF56A DPL=0 P ntoskrnl!ZwYieldExecution+0095 0032 IntG32 0008:804DF574 DPL=0 P ntoskrnl!ZwYieldExecution+009F 0033 IntG32 0008:804DF57E DPL=0 P ntoskrnl!ZwYieldExecution+00A9 0034 IntG32 0008:804DF588 DPL=0 P ntoskrnl!ZwYieldExecution+00B3 0035 IntG32 0008:804DF592 DPL=0 P ntoskrnl!ZwYieldExecution+00BD 0036 IntG32 0008:804DF59C DPL=0 P ntoskrnl!ZwYieldExecution+00C7 0037 IntG32 0008:806EE728 DPL=0 P HAL!HalInitializeProcessor+0100 0038 IntG32 0008:804DF5B0 DPL=0 P ntoskrnl!ZwYieldExecution+00DB 0039 IntG32 0008:804DF5BA DPL=0 P ntoskrnl!ZwYieldExecution+00E5 003A IntG32 0008:804DF5C4 DPL=0 P ntoskrnl!ZwYieldExecution+00EF 003B IntG32 0008:804DF5CE DPL=0 P ntoskrnl!ZwYieldExecution+00F9 003C IntG32 0008:804DF5D8 DPL=0 P ntoskrnl!ZwYieldExecution+0103 003D IntG32 0008:806EFB70 DPL=0 P HAL!HalClearSoftwareInterrupt+027C 003E IntG32 0008:804DF5EC DPL=0 P ntoskrnl!ZwYieldExecution+0117 003F IntG32 0008:804DF5F6 DPL=0 P ntoskrnl!ZwYieldExecution+0121 0040 IntG32 0008:804DF600 DPL=0 P ntoskrnl!ZwYieldExecution+012B 0041 IntG32 0008:806EF9CC DPL=3 P HAL!HalClearSoftwareInterrupt+00D8 0042 IntG32 0008:804DF614 DPL=0 P ntoskrnl!ZwYieldExecution+013F 0043 IntG32 0008:804DF61E DPL=0 P ntoskrnl!ZwYieldExecution+0149 0044 IntG32 0008:804DF628 DPL=0 P ntoskrnl!ZwYieldExecution+0153 0045 IntG32 0008:804DF632 DPL=0 P ntoskrnl!ZwYieldExecution+015D 0046 IntG32 0008:804DF63C DPL=0 P ntoskrnl!ZwYieldExecution+0167 0047 IntG32 0008:804DF646 DPL=0 P ntoskrnl!ZwYieldExecution+0171 0048 IntG32 0008:804DF650 DPL=0 P ntoskrnl!ZwYieldExecution+017B 0049 IntG32 0008:804DF65A DPL=0 P ntoskrnl!ZwYieldExecution+0185 004A IntG32 0008:804DF664 DPL=0 P ntoskrnl!ZwYieldExecution+018F 004B IntG32 0008:804DF66E DPL=0 P ntoskrnl!ZwYieldExecution+0199 004C IntG32 0008:804DF678 DPL=0 P ntoskrnl!ZwYieldExecution+01A3 004D IntG32 0008:804DF682 DPL=0 P ntoskrnl!ZwYieldExecution+01AD 004E IntG32 0008:804DF68C DPL=0 P ntoskrnl!ZwYieldExecution+01B7 004F IntG32 0008:804DF696 DPL=0 P ntoskrnl!ZwYieldExecution+01C1 0050 IntG32 0008:806EE800 DPL=0 P HAL!HalInitializeProcessor+01D8 0051 IntG32 0008:804DF6AA DPL=0 P ntoskrnl!ZwYieldExecution+01D5 0052 IntG32 0008:804DF6B4 DPL=0 P ntoskrnl!ZwYieldExecution+01DF 0053 IntG32 0008:804DF6BE DPL=0 P ntoskrnl!ZwYieldExecution+01E9 0054 IntG32 0008:804DF6C8 DPL=0 P ntoskrnl!ZwYieldExecution+01F3 0055 IntG32 0008:804DF6D2 DPL=0 P ntoskrnl!ZwYieldExecution+01FD 0056 IntG32 0008:804DF6DC DPL=0 P ntoskrnl!ZwYieldExecution+0207 0057 IntG32 0008:804DF6E6 DPL=0 P ntoskrnl!ZwYieldExecution+0211 0058 IntG32 0008:804DF6F0 DPL=0 P ntoskrnl!ZwYieldExecution+021B 0059 IntG32 0008:804DF6FA DPL=0 P ntoskrnl!ZwYieldExecution+0225 005A IntG32 0008:804DF704 DPL=0 P ntoskrnl!ZwYieldExecution+022F 005B IntG32 0008:804DF70E DPL=0 P ntoskrnl!ZwYieldExecution+0239 005C IntG32 0008:804DF718 DPL=0 P ntoskrnl!ZwYieldExecution+0243 005D IntG32 0008:804DF722 DPL=0 P ntoskrnl!ZwYieldExecution+024D 005E IntG32 0008:804DF72C DPL=0 P ntoskrnl!ZwYieldExecution+0257 005F IntG32 0008:804DF736 DPL=0 P ntoskrnl!ZwYieldExecution+0261 0060 IntG32 0008:804DF740 DPL=0 P ntoskrnl!ZwYieldExecution+026B 0061 IntG32 0008:804DF74A DPL=0 P ntoskrnl!ZwYieldExecution+0275 0062 IntG32 0008:82F684DC DPL=0 P 0063 IntG32 0008:828AF044 DPL=0 P 0064 IntG32 0008:804DF768 DPL=0 P ntoskrnl!ZwYieldExecution+0293 0065 IntG32 0008:804DF772 DPL=0 P ntoskrnl!ZwYieldExecution+029D 0066 IntG32 0008:804DF77C DPL=0 P ntoskrnl!ZwYieldExecution+02A7 0067 IntG32 0008:804DF786 DPL=0 P ntoskrnl!ZwYieldExecution+02B1 0068 IntG32 0008:804DF790 DPL=0 P ntoskrnl!ZwYieldExecution+02BB 0069 IntG32 0008:804DF79A DPL=0 P ntoskrnl!ZwYieldExecution+02C5 006A IntG32 0008:804DF7A4 DPL=0 P ntoskrnl!ZwYieldExecution+02CF 006B IntG32 0008:804DF7AE DPL=0 P ntoskrnl!ZwYieldExecution+02D9 006C IntG32 0008:804DF7B8 DPL=0 P ntoskrnl!ZwYieldExecution+02E3 006D IntG32 0008:804DF7C2 DPL=0 P ntoskrnl!ZwYieldExecution+02ED 006E IntG32 0008:804DF7CC DPL=0 P ntoskrnl!ZwYieldExecution+02F7 006F IntG32 0008:804DF7D6 DPL=0 P ntoskrnl!ZwYieldExecution+0301 0070 IntG32 0008:804DF7E0 DPL=0 P ntoskrnl!ZwYieldExecution+030B 0071 IntG32 0008:804DF7EA DPL=0 P ntoskrnl!ZwYieldExecution+0315 0072 IntG32 0008:804DF7F4 DPL=0 P ntoskrnl!ZwYieldExecution+031F 0073 IntG32 0008:82AF49EC DPL=0 P 0074 IntG32 0008:804DF808 DPL=0 P ntoskrnl!ZwYieldExecution+0333 0075 IntG32 0008:804DF812 DPL=0 P ntoskrnl!ZwYieldExecution+033D 0076 IntG32 0008:804DF81C DPL=0 P ntoskrnl!ZwYieldExecution+0347 0077 IntG32 0008:804DF826 DPL=0 P ntoskrnl!ZwYieldExecution+0351 0078 IntG32 0008:804DF830 DPL=0 P ntoskrnl!ZwYieldExecution+035B 0079 IntG32 0008:804DF83A DPL=0 P ntoskrnl!ZwYieldExecution+0365 007A IntG32 0008:804DF844 DPL=0 P ntoskrnl!ZwYieldExecution+036F 007B IntG32 0008:804DF84E DPL=0 P ntoskrnl!ZwYieldExecution+0379 007C IntG32 0008:804DF858 DPL=0 P ntoskrnl!ZwYieldExecution+0383 007D IntG32 0008:804DF862 DPL=0 P ntoskrnl!ZwYieldExecution+038D 007E IntG32 0008:804DF86C DPL=0 P ntoskrnl!ZwYieldExecution+0397 007F IntG32 0008:804DF876 DPL=0 P ntoskrnl!ZwYieldExecution+03A1 0080 IntG32 0008:804DF880 DPL=0 P ntoskrnl!ZwYieldExecution+03AB 0081 IntG32 0008:804DF88A DPL=0 P ntoskrnl!ZwYieldExecution+03B5 0082 IntG32 0008:82F73B2C DPL=0 P 0083 IntG32 0008:8285F72C DPL=0 P 0084 IntG32 0008:804DF8A8 DPL=0 P ntoskrnl!ZwYieldExecution+03D3 0085 IntG32 0008:804DF8B2 DPL=0 P ntoskrnl!ZwYieldExecution+03DD 0086 IntG32 0008:804DF8BC DPL=0 P ntoskrnl!ZwYieldExecution+03E7 0087 IntG32 0008:804DF8C6 DPL=0 P ntoskrnl!ZwYieldExecution+03F1 0088 IntG32 0008:804DF8D0 DPL=0 P ntoskrnl!ZwYieldExecution+03FB 0089 IntG32 0008:804DF8DA DPL=0 P ntoskrnl!ZwYieldExecution+0405 008A IntG32 0008:804DF8E4 DPL=0 P ntoskrnl!ZwYieldExecution+040F 008B IntG32 0008:804DF8EE DPL=0 P ntoskrnl!ZwYieldExecution+0419 008C IntG32 0008:804DF8F8 DPL=0 P ntoskrnl!ZwYieldExecution+0423 008D IntG32 0008:804DF902 DPL=0 P ntoskrnl!ZwYieldExecution+042D 008E IntG32 0008:804DF90C DPL=0 P ntoskrnl!ZwYieldExecution+0437 008F IntG32 0008:804DF916 DPL=0 P ntoskrnl!ZwYieldExecution+0441 0090 IntG32 0008:804DF920 DPL=0 P ntoskrnl!ZwYieldExecution+044B 0091 IntG32 0008:804DF92A DPL=0 P ntoskrnl!ZwYieldExecution+0455 0092 IntG32 0008:82B4466C DPL=0 P 0093 IntG32 0008:82B5C81C DPL=0 P 0094 IntG32 0008:804DF948 DPL=0 P ntoskrnl!ZwYieldExecution+0473 0095 IntG32 0008:804DF952 DPL=0 P ntoskrnl!ZwYieldExecution+047D 0096 IntG32 0008:804DF95C DPL=0 P ntoskrnl!ZwYieldExecution+0487 0097 IntG32 0008:804DF966 DPL=0 P ntoskrnl!ZwYieldExecution+0491 0098 IntG32 0008:804DF970 DPL=0 P ntoskrnl!ZwYieldExecution+049B 0099 IntG32 0008:804DF97A DPL=0 P ntoskrnl!ZwYieldExecution+04A5 009A IntG32 0008:804DF984 DPL=0 P ntoskrnl!ZwYieldExecution+04AF 009B IntG32 0008:804DF98E DPL=0 P ntoskrnl!ZwYieldExecution+04B9 009C IntG32 0008:804DF998 DPL=0 P ntoskrnl!ZwYieldExecution+04C3 009D IntG32 0008:804DF9A2 DPL=0 P ntoskrnl!ZwYieldExecution+04CD 009E IntG32 0008:804DF9AC DPL=0 P ntoskrnl!ZwYieldExecution+04D7 009F IntG32 0008:804DF9B6 DPL=0 P ntoskrnl!ZwYieldExecution+04E1 00A0 IntG32 0008:804DF9C0 DPL=0 P ntoskrnl!ZwYieldExecution+04EB 00A1 IntG32 0008:804DF9CA DPL=0 P ntoskrnl!ZwYieldExecution+04F5 00A2 IntG32 0008:804DF9D4 DPL=0 P ntoskrnl!ZwYieldExecution+04FF 00A3 IntG32 0008:8287925C DPL=0 P 00A4 IntG32 0008:804DF9E8 DPL=0 P ntoskrnl!ZwYieldExecution+0513 00A5 IntG32 0008:804DF9F2 DPL=0 P ntoskrnl!ZwYieldExecution+051D 00A6 IntG32 0008:804DF9FC DPL=0 P ntoskrnl!ZwYieldExecution+0527 00A7 IntG32 0008:804DFA06 DPL=0 P ntoskrnl!ZwYieldExecution+0531 00A8 IntG32 0008:804DFA10 DPL=0 P ntoskrnl!ZwYieldExecution+053B 00A9 IntG32 0008:804DFA1A DPL=0 P ntoskrnl!ZwYieldExecution+0545 00AA IntG32 0008:804DFA24 DPL=0 P ntoskrnl!ZwYieldExecution+054F 00AB IntG32 0008:804DFA2E DPL=0 P ntoskrnl!ZwYieldExecution+0559 00AC IntG32 0008:804DFA38 DPL=0 P ntoskrnl!ZwYieldExecution+0563 00AD IntG32 0008:804DFA42 DPL=0 P ntoskrnl!ZwYieldExecution+056D 00AE IntG32 0008:804DFA4C DPL=0 P ntoskrnl!ZwYieldExecution+0577 00AF IntG32 0008:804DFA56 DPL=0 P ntoskrnl!ZwYieldExecution+0581 00B0 IntG32 0008:804DFA60 DPL=0 P ntoskrnl!ZwYieldExecution+058B 00B1 IntG32 0008:82FD3044 DPL=0 P 00B2 IntG32 0008:804DFA74 DPL=0 P ntoskrnl!ZwYieldExecution+059F 00B3 IntG32 0008:804DFA7E DPL=0 P ntoskrnl!ZwYieldExecution+05A9 00B4 IntG32 0008:82B57DD4 DPL=0 P 00B5 IntG32 0008:804DFA92 DPL=0 P ntoskrnl!ZwYieldExecution+05BD 00B6 IntG32 0008:804DFA9C DPL=0 P ntoskrnl!ZwYieldExecution+05C7 00B7 IntG32 0008:804DFAA6 DPL=0 P ntoskrnl!ZwYieldExecution+05D1 00B8 IntG32 0008:804DFAB0 DPL=0 P ntoskrnl!ZwYieldExecution+05DB 00B9 IntG32 0008:804DFABA DPL=0 P ntoskrnl!ZwYieldExecution+05E5 00BA IntG32 0008:804DFAC4 DPL=0 P ntoskrnl!ZwYieldExecution+05EF 00BB IntG32 0008:804DFACE DPL=0 P ntoskrnl!ZwYieldExecution+05F9 00BC IntG32 0008:804DFAD8 DPL=0 P ntoskrnl!ZwYieldExecution+0603 00BD IntG32 0008:804DFAE2 DPL=0 P ntoskrnl!ZwYieldExecution+060D 00BE IntG32 0008:804DFAEC DPL=0 P ntoskrnl!ZwYieldExecution+0617 00BF IntG32 0008:804DFAF6 DPL=0 P ntoskrnl!ZwYieldExecution+0621 00C0 IntG32 0008:804DFB00 DPL=0 P ntoskrnl!ZwYieldExecution+062B 00C1 IntG32 0008:806EE984 DPL=0 P HAL!HalInitializeProcessor+035C 00C2 IntG32 0008:804DFB14 DPL=0 P ntoskrnl!ZwYieldExecution+063F 00C3 IntG32 0008:804DFB1E DPL=0 P ntoskrnl!ZwYieldExecution+0649 00C4 IntG32 0008:804DFB28 DPL=0 P ntoskrnl!ZwYieldExecution+0653 00C5 IntG32 0008:804DFB32 DPL=0 P ntoskrnl!ZwYieldExecution+065D 00C6 IntG32 0008:804DFB3C DPL=0 P ntoskrnl!ZwYieldExecution+0667 00C7 IntG32 0008:804DFB46 DPL=0 P ntoskrnl!ZwYieldExecution+0671 00C8 IntG32 0008:804DFB50 DPL=0 P ntoskrnl!ZwYieldExecution+067B 00C9 IntG32 0008:804DFB5A DPL=0 P ntoskrnl!ZwYieldExecution+0685 00CA IntG32 0008:804DFB64 DPL=0 P ntoskrnl!ZwYieldExecution+068F 00CB IntG32 0008:804DFB6E DPL=0 P ntoskrnl!ZwYieldExecution+0699 00CC IntG32 0008:804DFB78 DPL=0 P ntoskrnl!ZwYieldExecution+06A3 00CD IntG32 0008:804DFB82 DPL=0 P ntoskrnl!ZwYieldExecution+06AD 00CE IntG32 0008:804DFB8C DPL=0 P ntoskrnl!ZwYieldExecution+06B7 00CF IntG32 0008:804DFB96 DPL=0 P ntoskrnl!ZwYieldExecution+06C1 00D0 IntG32 0008:804DFBA0 DPL=0 P ntoskrnl!ZwYieldExecution+06CB 00D1 IntG32 0008:806EDD34 DPL=0 P hal!.text+0934 00D2 IntG32 0008:804DFBB4 DPL=0 P ntoskrnl!ZwYieldExecution+06DF 00D3 IntG32 0008:804DFBBE DPL=0 P ntoskrnl!ZwYieldExecution+06E9 00D4 IntG32 0008:804DFBC8 DPL=0 P ntoskrnl!ZwYieldExecution+06F3 00D5 IntG32 0008:804DFBD2 DPL=0 P ntoskrnl!ZwYieldExecution+06FD 00D6 IntG32 0008:804DFBDC DPL=0 P ntoskrnl!ZwYieldExecution+0707 00D7 IntG32 0008:804DFBE6 DPL=0 P ntoskrnl!ZwYieldExecution+0711 00D8 IntG32 0008:804DFBF0 DPL=0 P ntoskrnl!ZwYieldExecution+071B 00D9 IntG32 0008:804DFBFA DPL=0 P ntoskrnl!ZwYieldExecution+0725 00DA IntG32 0008:804DFC04 DPL=0 P ntoskrnl!ZwYieldExecution+072F 00DB IntG32 0008:804DFC0E DPL=0 P ntoskrnl!ZwYieldExecution+0739 00DC IntG32 0008:804DFC18 DPL=0 P ntoskrnl!ZwYieldExecution+0743 00DD IntG32 0008:804DFC22 DPL=0 P ntoskrnl!ZwYieldExecution+074D 00DE IntG32 0008:804DFC2C DPL=0 P ntoskrnl!ZwYieldExecution+0757 00DF IntG32 0008:804DFC36 DPL=0 P ntoskrnl!ZwYieldExecution+0761 00E0 IntG32 0008:804DFC40 DPL=0 P ntoskrnl!ZwYieldExecution+076B 00E1 IntG32 0008:806EEF0C DPL=0 P HAL!HalRequestIpi+019C 00E2 IntG32 0008:804DFC54 DPL=0 P ntoskrnl!ZwYieldExecution+077F 00E3 IntG32 0008:806EEC70 DPL=0 P HAL!HalInitializeProcessor+0648 00E4 IntG32 0008:804DFC68 DPL=0 P ntoskrnl!ZwYieldExecution+0793 00E5 IntG32 0008:804DFC72 DPL=0 P ntoskrnl!ZwYieldExecution+079D 00E6 IntG32 0008:804DFC7C DPL=0 P ntoskrnl!ZwYieldExecution+07A7 00E7 IntG32 0008:804DFC86 DPL=0 P ntoskrnl!ZwYieldExecution+07B1 00E8 IntG32 0008:804DFC90 DPL=0 P ntoskrnl!ZwYieldExecution+07BB 00E9 IntG32 0008:804DFC9A DPL=0 P ntoskrnl!ZwYieldExecution+07C5 00EA IntG32 0008:804DFCA4 DPL=0 P ntoskrnl!ZwYieldExecution+07CF 00EB IntG32 0008:804DFCAE DPL=0 P ntoskrnl!ZwYieldExecution+07D9 00EC IntG32 0008:804DFCB8 DPL=0 P ntoskrnl!ZwYieldExecution+07E3 00ED IntG32 0008:804DFCC2 DPL=0 P ntoskrnl!ZwYieldExecution+07ED 00EE IntG32 0008:804DFCC9 DPL=0 P ntoskrnl!ZwYieldExecution+07F4 00EF IntG32 0008:804DFCD0 DPL=0 P ntoskrnl!ZwYieldExecution+07FB 00F0 IntG32 0008:804DFCD7 DPL=0 P ntoskrnl!ZwYieldExecution+0802 00F1 IntG32 0008:804DFCDE DPL=0 P ntoskrnl!ZwYieldExecution+0809 00F2 IntG32 0008:804DFCE5 DPL=0 P ntoskrnl!ZwYieldExecution+0810 00F3 IntG32 0008:804DFCEC DPL=0 P ntoskrnl!ZwYieldExecution+0817 00F4 IntG32 0008:804DFCF3 DPL=0 P ntoskrnl!ZwYieldExecution+081E 00F5 IntG32 0008:804DFCFA DPL=0 P ntoskrnl!ZwYieldExecution+0825 00F6 IntG32 0008:804DFD01 DPL=0 P ntoskrnl!ZwYieldExecution+082C 00F7 IntG32 0008:804DFD08 DPL=0 P ntoskrnl!ZwYieldExecution+0833 00F8 IntG32 0008:804DFD0F DPL=0 P ntoskrnl!ZwYieldExecution+083A 00F9 IntG32 0008:804DFD16 DPL=0 P ntoskrnl!ZwYieldExecution+0841 00FA IntG32 0008:804DFD1D DPL=0 P ntoskrnl!ZwYieldExecution+0848 00FB IntG32 0008:804DFD24 DPL=0 P ntoskrnl!ZwYieldExecution+084F 00FC IntG32 0008:804DFD2B DPL=0 P ntoskrnl!ZwYieldExecution+0856 00FD IntG32 0008:806EF464 DPL=0 P HAL!HalSetProfileInterval+0110 00FE IntG32 0008:806EF604 DPL=0 P HAL!HalSetProfileInterval+02B0 00FF IntG32 0008:804DFD40 DPL=0 P ntoskrnl!ZwYieldExecution+086B |
|
[求助]请教版主NticeDump的Pagein D 400000 7000 \??\C:\dump.exe
\\?? 是Window 内核对象命名的目录,这是98以后的xp,2k使用的内核域名空间,之所以变成\\??只是兼容98驱动设备对象域名,而在98叫\\dosDevice目录 \\??\c: 是个设备连接符号,实际指向\\Device\\HarddiskVolume1设备, 一般是提供给驱动层使用的。 而在应用层要访问c:盘文件之需要这样的目录格式就可以访问了c:\test.txt |
|
struct与class
C++ 是Class经典啊. 感觉C++是特定CPU平台的Class 再此基础的Java和.Net是跨平台的Class C++是曾经的辉煌... C++带来了程序动态的联编,执行的多态,虚拟的接口,数据的封装继承,C++是Java,Net的前辈 |
|
[原创]Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名
最初由 hzxhzx 发布 RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏的进程名 我没有做大小写转换了,忘了!这个注意! delphi调用它,用 OpenSCManager,CreateService ,StartService OpenService等加载驱动. xp sp2 平台的. 单实例运行..... 其他平台不行,我也不想在调试了.修改了... 修改驱动真麻烦. 在我的平台可以. |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值