|
[求助]内核模式下fs寄存器里的值到底是多少?
从fs:[0x124]取当前线程EHREAD. 然后调用IoThreadToProcess取得当前此线程所属进程的EPROCESS(就是你所谓的当前进程). 从EPROCESS取得进程路径的办法网上文章貌似不少.. 大致方法有[详情百度] 1.调用NtQueryInfomationProcess.取得 2.通过EPROCESS--->PEB 取得. 3.通过SectionPointer取得.. |
|
[建议]我花60元钱买了看雪出的书,可以得到邀请码吗?
呵呵..这个注意不错..值得支持 |
|
[求助]请问GetSystemTimeAsFileTime在SSDT是调用的哪个?
[XP SP3 ] 这个函数没有进入内核. 时间是从结构_KUSER_SHARED_DATA(0x7FFE0000)内取的. .text:7C8017E9 ; void __stdcall GetSystemTimeAsFileTime(LPFILETIME lpSystemTimeAsFileTime) .text:7C8017E9 public _GetSystemTimeAsFileTime@4 .text:7C8017E9 _GetSystemTimeAsFileTime@4 proc near ; CODE XREF: BasepShimCacheUpdateLRUIndex(x,x,x)+37p .text:7C8017E9 ; DATA XREF: .text:off_7C802654o .text:7C8017E9 .text:7C8017E9 lpSystemTimeAsFileTime= dword ptr 8 .text:7C8017E9 .text:7C8017E9 mov edi, edi .text:7C8017EB push ebp .text:7C8017EC mov ebp, esp .text:7C8017EE .text:7C8017EE loc_7C8017EE: ; CODE XREF: GetSystemTimeAsFileTime(x)+16j .text:7C8017EE mov eax, ds:7FFE0018h .text:7C8017F3 mov edx, ds:7FFE0014h .text:7C8017F9 cmp eax, ds:7FFE001Ch .text:7C8017FF jnz short loc_7C8017EE .text:7C801801 mov ecx, [ebp+lpSystemTimeAsFileTime] .text:7C801804 mov [ecx], edx .text:7C801806 mov [ecx+4], eax .text:7C801809 pop ebp .text:7C80180A retn 4 .text:7C80180A _GetSystemTimeAsFileTime@4 endp |
|
[求助][求助]DDKwizard 的负面影响吗?好心人可怜下啊
MANIFESTUAC 这个不适用于DRIVER工程.. 修改别人项目? 具体不太明白你要做什么. 如果是修改想为WDK例子代码建立个工程.然后用编译器打开方便编辑的话 直接建立个空工程把文件添加进程来就好了. |
|
|
|
[原创]win32内核程序中进程的pid,handle,eprocess之间相互转换的方法
4、handle->eprocess 暂未发现直接转换的方法,可由handle->pid->eprocess。 这个我来完善吧. st = ObReferenceObjectByHandle (ProcessHandle, PROCESS_TERMINATE, PsProcessType, KeGetPreviousModeByThread(&Self->Tcb), &Process, NULL); 6、eprocess->handle 暂未发现直接转换的方法,可由eprocess->pid->handle。 这个也完善下. Status = ObOpenObjectByPointer( Process, Attributes, &AccessState, 0, PsProcessType, PreviousMode, &Handle ); |
|
如何恢复EPROCESS断链
你在这贴的时候 http://bbs.pediy.com/showthread.php?t=119113 我就说过方法了. 只是你第一个参数写错了.建议仔细看一下我原帖的描述. Ps:PsActiveProcessHead其实很好得到.因为它就是SYSTEM进程的前一个. |
|
[求助]如何恢复EPROCESS断链
找到PsActiveProcessHead 找到被隐藏进程的EPROCESS地址 InsertTailList(&PsActiveProcessHead,进程ActiveProcessLinks字段地址) Ps:此方法一定几率下会BugCheck. |
|
[求助]PsLookupThreadByThreadId 总是返回错误,请问还有办法获取EThread结构吗大牛们帮下忙啊
..... WDK文档要看清呀. NTSTATUS PsLookupThreadByThreadId( __in HANDLE ThreadId, __deref_out PETHREAD *Thread ); 第一个函数.是一个线程ID.是一个三十二位无符号数字. 你用一个PHANDLE的指针指向缓冲区的话. 传递参数的时候前面应该加一个 * 把它取出来. 换成 status=PsLookupThreadByThreadId(*ThreadId,&Thread); 试试 PS: 注意参数合法性校验... |
|
浙大网新中央研究院(毛德操团队)诚聘linux内核工程师
哇.不会吧.毛老师在杭州? |
|
[原创]Delphi与VB,C++和PowerBuilder之比较
没有优秀的语言.只有强大的Coder |
|
[求助]判断操作系统版本例如XP-2008
BOOLEAN PsGetVersion( PULONG MajorVersion OPTIONAL, PULONG MinorVersion OPTIONAL, PULONG BuildNumber OPTIONAL, PUNICODE_STRING CSDVersion OPTIONAL ); |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值