|
[求助]内核遍历某进程内模块,结果PEB地址访问出错
不是32位64位的问题 那就应该是没有KeStackAttachProcess |
|
[求助]内核遍历某进程内模块,结果PEB地址访问出错
大概猜测是 PPEB 32位 64位要分开处理 |
|
[求助]脱壳中单步进入和单步步过区别是什么?
也许你问的是为什么近CALL要F7远CALL要F8吧,实际操作下就知道了 近CALL你跟进去就是在下面几句代码,举个例子 00421000 CALL 00421006 如果这里你F8就到00421006,没有断点程序飞了 00421005 push ecx 00421006 test eax,eax F7跟进CALL 就会来到这,不会跑飞 脱壳过程中会遇到很多类似的代码 |
|
求教:winword打印的问题
没人回复啊 求科普 求指点 |
|
[求助]SPOOLSV进程注入的问题
我虚拟机 什么都没装 奇怪了 很悲剧 |
|
|
|
[求助]SPOOLSV进程注入的问题
问题是 如果我注入到notepad 完全没问题,一遇到系统进程,比如explorer spoolsv就只能正确执行,但无法注入了 刚在虚拟机调试了下,发现注入到spoolsv这个进程是正确的 再次请教!谢谢 |
|
[求助]文件加密预览功能
explorer.exe不应该对文件进行解密的,不然加密就没意义了,现在要做的就是对加密文件实现预览,这个问题不简单呀 555 |
|
[求助]文件加密预览功能
晕,我每次都结贴了啊 ,怎么结贴率75% 。。。。 |
|
[求助]获取进程的全路径遇到困难
PsSetCreateProcessNotifyRoutine与PsSetCreateProcessNotifyRoutineEx的参数不同,因为我是用的PsSetCreateProcessNotifyRoutine注册的回调,所以不能使用你说的这个结构体。实际上同过eprocess也可以获取到进程的句柄,然后获取进程全路径。 你的这个回调我有时间我会继续测试! 很感谢你的回复,只可惜分都送完了,很抱歉 |
|
[求助]获取进程的全路径遇到困难
确实通过PsLookupProcessByProcessId获取到的子进程的结构体EPROCESS中,取得的ImageFileName确实是运行的子进程的名字,但是找到PEB结构后,然后获取PRTL_USER_PROCESS_PARAMETERS信息,结果发现PRTL_USER_PROCESS_PARAMETERS结构体中的ImagePathName为??? 能告诉我为什么吗? |
|
[求助]获取进程的全路径遇到困难
进程创建子进程的主线程的时候,运行的上下文确实是在父进程中,如果在父进程上下文中调用PsLookupProcessByProcessId获取子进程的EPROCESS,结果得到的怎么都是???值, 难道说是因为这个时候,子进程的主线程以及别的线程没跑起来,所以这个结构体才没赋值的吗? 如果我要得到,必须要配合别的函数了吗? 谢谢楼上的指点,希望继续开下偶的窍 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值