|
|
|
|
|
|
|
|
|
|
|
逆向RING0程序从这里开始
最初由 笨笨雄 发布 mov edx, [eax+1];这是取出对应系统服务表的Dispath ID号.在这里就是对应取出:ZwDeviceIoControlFile 的ID号.我xp os pack2 它的ID号为:42. 内核根据这个Dispath ID和KeServiceDescriptorTable表基地址计算出ZwDeviceIoControlFile在服务表中的入口指针. mov esi, [ecx]-->取KeServiceDescriptorTable给si mov edx, [esi+edx*4]-->计算出ZwDeviceIoControlFile在服务表的指针,然后把ZwDeviceIoControlFile入口地址给edx,因为驱动要hook服务表之前要保存一下. mov dword ptr [ecx+eax*4], offset sub_1030E--->hook指向自己的MyZwDeviceIoControlFile函数.... 
|
|
|
逆向RING0程序从这里开始
最初由 笨笨雄 发布 谢谢.笨笨雄 DDK2003 IFS for xp都装了捏... IFS中的文件过滤sfilter例子正在学习之中... 偶菜捏...刚入门捏... 只能创建一个过滤控制设备对象...Dispath Function和FastIO Rontine.偶正在学习捏... 
|
|
|
|
|
|
|
|
|
[求助]跪求!破解从那里开始学期!或找人做师傅!
跪求!破解从那里开始学期!或找人做师傅! |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
被Class搞得很头疼~
分析C++对象或者是Object Pascl对象. 抓好this对象指针和self对象指针, C++编译器一般都约定ECX寄存器为this指针在各个对象之间传来传去. object pascl约定为eax寄存器... 找到了this.self.指针.就可以根据MFC.VCL翻译出各个虚拟表中的函数,并找出具体对象字符串名子,还有父类this和self指针等. 假如不是MFC VCL中的类,是用户自定义的类可以根据对象地址找出它的类名,也可以找出一些方法指针和一些私有成员等..对象具体功能要靠自己分析了. 还有对象的虚方法动态联编成多态运行.这个捏需要重定位父子之间的this指针.因为它们的虚方法表solt位置是相同地.例如call [ecx+4],-->ecx联编成父类this或者是子类this指针.这个需要程序编译完,在运行期才晓得捏. 没什么好说的. 关键定位到this.self上,什么东东都可以引用来了.如果迷失了它就乱了捏... |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
勋章
兑换勋章
证书
证书查询 >
能力值
