|
[原创]SEH分析笔记(X86篇)
学习了 。。。。 |
|
DirectInput和低级键盘钩子哪个在底层
DirectInput 要程序的窗口有焦点吧。??? |
|
[原创]再发几个好东西,windbg可编译源码
学习 谢谢分享 |
|
[讨论]KeUserModeCallback相关问题
kd> dt _peb 7ffda000 ntdll!_PEB +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' +0x002 BeingDebugged : 0 '' +0x003 SpareBool : 0 '' +0x004 Mutant : 0xffffffff +0x008 ImageBaseAddress : 0x00400000 +0x00c Ldr : 0x00241e90 _PEB_LDR_DATA +0x010 ProcessParameters : 0x00020000 _RTL_USER_PROCESS_PARAMETERS +0x014 SubSystemData : (null) +0x018 ProcessHeap : 0x00140000 +0x01c FastPebLock : 0x7c99d600 _RTL_CRITICAL_SECTION +0x020 FastPebLockRoutine : 0x7c921000 +0x024 FastPebUnlockRoutine : 0x7c9210e0 +0x028 EnvironmentUpdateCount : 1 +0x02c KernelCallbackTable : 0x77d12970 kd> dds 0x77d12970 l20 77d12970 77d27f3c USER32!__fnCOPYDATA 77d12974 77d587b3 USER32!__fnCOPYGLOBALDATA 77d12978 77d28ec8 USER32!__fnDWORD 77d1297c 77d2b149 USER32!__fnNCDESTROY 77d12980 77d5876c USER32!__fnDWORDOPTINLPMSG 77d12984 77d5896d USER32!__fnINOUTDRAG 77d12988 77d3b84d USER32!__fnGETTEXTLENGTHS 77d1298c 77d58c42 USER32!__fnINCNTOUTSTRING 77d12990 77d285c1 USER32!__fnINCNTOUTSTRINGNULL 77d12994 77d58b0f USER32!__fnINLPCOMPAREITEMSTRUCT 77d12998 77d2ce26 USER32!__fnINLPCREATESTRUCT 77d1299c 77d58b4d USER32!__fnINLPDELETEITEMSTRUCT 77d129a0 77d4feec USER32!__fnINLPDRAWITEMSTRUCT 77d129a4 77d58b8b USER32!__fnINLPHELPINFOSTRUCT 77d129a8 77d58b8b USER32!__fnINLPHELPINFOSTRUCT 77d129ac 77d589ad USER32!__fnINLPMDICREATESTRUCT 77d129b0 77d4f65c USER32!__fnINOUTLPMEASUREITEMSTRUCT 77d129b4 77d2be16 USER32!__fnINLPWINDOWPOS 77d129b8 77d2d063 USER32!__fnINOUTLPPOINT5 77d129bc 77d2bd0d USER32!__fnINOUTLPSCROLLINFO 77d129c0 77d3e285 USER32!__fnINOUTLPRECT 77d129c4 77d2bf4c USER32!__fnINOUTNCCALCSIZE 77d129c8 77d2bd0d USER32!__fnINOUTLPSCROLLINFO 77d129cc 77d589ff USER32!__fnINPAINTCLIPBRD 77d129d0 77d58a66 USER32!__fnINSIZECLIPBRD 77d129d4 77d30d41 USER32!__fnINDESTROYCLIPBRD 77d129d8 77d2aca1 USER32!__fnINSTRINGNULL 77d129dc 77d2aca1 USER32!__fnINSTRINGNULL 77d129e0 77d1e68c USER32!__fnINDEVICECHANGE 77d129e4 77d58cd7 USER32!__fnINOUTNEXTMENU 77d129e8 77d593f5 USER32!__fnLOGONNOTIFY 77d129ec 77d58728 USER32!__fnOUTDWORDDWORD |
|
[招聘]深圳腾讯招聘客户端安全驱动开发工程师
想去试试,不知道有没机会。。太菜了。哈哈。 |
|
[原创]FSD HOOK与SSDT HOOK恢复简单思路
esi指向DriverObject结构,指令字结构分别为 c7 46 XX YY YY YY YY c7 86 XX XX XX XX YY YY YY YY (XX为esi的相对偏移,YY为真正的函数地址) 你好。请问这个指令格式。你是如何查询的? |
|
[求助]如何查到一个 API 最后要调用哪个内核函数
不好意思,我的IDA出问题了,没看出来。现在好了。 |
|
[求助]如何查到一个 API 最后要调用哪个内核函数
user32.dll( FindWindow)---->win32k.sys(NtUserFindWindowEx) sub_77D2C7AC proc near mov eax, 117Ah---------------------------------->117AH服务号 mov edx, 7FFE0300h------------------------存放地址指针 call dword ptr [edx] --------------------KiFastSystemCall retn 14h sub_77D2C7AC endp sub_77D2C7AC proc near这个是如何确定的? |
|
[下载]《[专题四]Rootkit的学习与研究》文章整理下载
谢谢,,,,, |
|
[求助]不理解一段代码,求解
BaseAddress 指的是 ControlArea ?? 然后取ControlArea 的FilePointer ? nt!_CONTROL_AREA +0x000 Segment : Ptr32 _SEGMENT +0x004 DereferenceList : _LIST_ENTRY +0x00c NumberOfSectionReferences : Uint4B +0x010 NumberOfPfnReferences : Uint4B +0x014 NumberOfMappedViews : Uint4B +0x018 NumberOfSubsections : Uint2B +0x01a FlushInProgressCount : Uint2B +0x01c NumberOfUserReferences : Uint4B +0x020 u : __unnamed +0x024 FilePointer : Ptr32 _FILE_OBJECT +0x028 WaitingForDeletion : Ptr32 _EVENT_COUNTER +0x02c ModifiedWriteCount : Uint2B +0x02e NumberOfSystemCacheViews : Uint2B |
|
[原创] 贡献一个基于IMD的防火墙驱动程序教程------以passthruEx为蓝本
收下。谢谢 。。。。。 |
|
[求助]ring3 API参数和对应的ring0函数的参数
非常感谢楼上的回答。thx |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值