|
|
|
[求助]一个内核函数代码长度的疑问的解决
查找 ret + int3 ? |
|
[分享]汇编优化几种方式。
mark..... 还有最常见的 eax = !! eax; sub 0, eax sbb eax, eax neg eax eax = ! eax; sub 0, eax sbb eax, eax inc eax |
|
|
|
[求助]hook ntcreateprocess
嗯~~~~~~~~~~~~~~~ |
|
[求助]hook ntcreateprocess
//kernel debug (win xp / win 2003 server) to see structures // then we can get file name according section object // ( EPROCESS-> ) SectionObject(_SECTION_OBJECT)->Segment(_SEGMENT)-> // ControlArea (_CONTROL_AREA)->FilePointer( _FILE_OBJECT) /* nt!_SECTION_OBJECT ... +0x014 Segment : Ptr32 _SEGMENT_OBJECT note: _SEGMENT_OBJECT seemed to be _SEGMENT in fact !!! and use Segment as _SEGMENT can success lkd> DT _SEGMENT nt!_SEGMENT +0x000 ControlArea : Ptr32 _CONTROL_AREA ... lkd> DT _CONTROL_AREA nt!_CONTROL_AREA ... +0x024 FilePointer : Ptr32 _FILE_OBJECT ... */ |
|
[原创]字符串函数的汇编实现
我在application 编译出来 是 __cdecl 的, 驱动里编译出来 是优化到内联了, 都不是fastcall的 |
|
[求助]MessageBoxA用法
先定位GetProcAddress,其他API用GetProcAddress |
|
[求助]老问题 DKOM隐藏进程的恢复
dispatch lock 可以解决, 但是win 7彻底废除它, 只能用我上面说的dpc 法, 把每个processor都挂到那, 直到你完成操作 |
|
[求助]老问题 DKOM隐藏进程的恢复
各processor运行DPC阻止线程切换? |
|
[求助]驱动中可以直接调用Nt开头的函数吗
没错, 区别就是ZwXxx查询SSDT调用相应的NtXxx而且设置previous mode 为 kernelMode. 如果你直接调用NtXxx, 如果是用户线程, previous mode 是userMode, 那么NtXxx的Probe检查就过不去 |
|
[求助]多核IDT检测
KeReleaseSpinLock (&idtLock, &idtIrql); 应该是 KeReleaseSpinLock (&idtLock, idtIrql); 我只看出来这个错误, 没有调试, 你改过来再试看还bugcheck否 |
|
[已解决][求助]一段小算法的逆向求值
这不就是典型的RSA吗 |
|
[求助]驱动怎么向应用层发送消息?
我没有理解错你的意思, 应用层循环等待事件, 驱动把要发的消息数据入队, 设置事件, 然后应用层请求驱动输出消息数据, 驱动接受请求, 出队。 |
|
[求助]王爽汇编问题?
或者是前缀码? |
|
[求助]驱动怎么向应用层发送消息?
我用的是event |
|
[求助]ObReferenceObjectByHandle 取路径的问题
// EPROCESS->PEB(_PEB)->ProcessParameters((_RTL_USER_PROCESS_PARAMETERS)-> // ImagePathName(_UNICODE_STRING) |
|
[求助]王爽汇编问题?
好像指令的第一个字节可以确定自身长度 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值