|
[讨论]Win7x64 无法通过替换表项进行SSDT HOOK???
看了啊 可是根据那个NT函数定位的公式 只能是高位地址跟他在同一段内的才行 我自己上的驱动 跟他不在同一区域,没法用那个公式来算了啊。 你说的看ssdt结构是指什么? 上面的那些都是我从WINDBG里面摘出来的。 PS:顺便请教个问题 ServiceTable>>4 才是相对偏移 那么呗右移忽略掉的4位是干什么的? |
|
[求助]内核HOOK NtReadVirtualMemory 时获到不到进程名求解
检查你PID的时候 保存成数组 链表之类的咯~ |
|
[求助]内核HOOK NtReadVirtualMemory 时获到不到进程名求解
PsGetProcessImageFileName(IoGetCurrentProcess()) |
|
[讨论]x64的SSDT怎么声明?
难得啊 你也冒泡。 |
|
|
|
[讨论]x64的SSDT怎么声明?
各种感谢 百度不给力 还是GG比较吊。 |
|
|
|
[讨论]x64的SSDT怎么声明?
PG已经干掉了 就是找下SSDT而已~ |
|
[讨论]x64的SSDT怎么声明?
刚吃饭回来 查了一下 的确是个悲剧 找方法拙计ing |
|
[求助]Win7 X64加载驱动可以用自制签名否?
因为发现了一个叫 Driver Signature Enforcement Overrider 的东西。 |
|
[求助]Win7 X64加载驱动可以用自制签名否?
有看了点东西 弄明白了 谢~ |
|
|
|
|
|
|
|
[求助]R0挂钩NtResumeThread如何判断是否为新进程
11号是SystemModuleInformation啊 WRK里面的返回结构体是 typedef struct _RTL_PROCESS_MODULE_INFORMATION { HANDLE Section; // Not filled in PVOID MappedBase; PVOID ImageBase; ULONG ImageSize; ULONG Flags; USHORT LoadOrderIndex; USHORT InitOrderIndex; USHORT LoadCount; USHORT OffsetToFileName; UCHAR FullPathName[ 256 ]; } RTL_PROCESS_MODULE_INFORMATION, *PRTL_PROCESS_MODULE_INFORMATION; typedef struct _RTL_PROCESS_MODULES { ULONG NumberOfModules; RTL_PROCESS_MODULE_INFORMATION Modules[ 1 ]; } RTL_PROCESS_MODULES, *PRTL_PROCESS_MODULES; 好像没有线程数量啊。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值