|
[求助]如何通过驱动程序获取到CR3里的内容
自己顶一下!!! |
|
[求助]如何通过驱动程序获取到CR3里的内容
你好,有类似的例子吗???? |
|
[求助]如何通过驱动程序获取到CR3里的内容
从进程内核对象中????如何得到进程的内核对象?在内核中用驱动程序获取??? |
|
[求助]如何通过驱动程序获取到CR3里的内容
期待高手的回复!万分感谢!! |
|
[求助]进程页表的获取
哦,那就得整个驱动程序了。有相关CR3获取的驱动程序实例吗?? |
|
[求助]进程页表的获取
应该是在内核里直接读取???还是应用层 |
|
[求助]通过PE文件,如何获取其调用的DLL的完整路径??
我用方法如下: //通过PE的格式来找到引用的DLL HANDLE hFile=CreateFile(buff,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); if(hFile==INVALID_HANDLE_VALUE) { AfxMessageBox("open file fail"); return; } HANDLE hFileMap=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL); if(hFileMap==NULL || hFileMap==INVALID_HANDLE_VALUE) { AfxMessageBox("maping fail"); return; } LPBYTE lpbaseAddress=(LPBYTE)MapViewOfFile(hFileMap,FILE_MAP_READ,0,0,0); if(lpbaseAddress==NULL) { AfxMessageBox("could not map view of file"); return; } PIMAGE_DOS_HEADER pDosHeader=(PIMAGE_DOS_HEADER)lpbaseAddress; PIMAGE_NT_HEADERS pNtHeaders=(PIMAGE_NT_HEADERS)(lpbaseAddress+pDosHeader->e_lfanew); DWORD rva_import_table=pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress; if(rva_import_table==0) { AfxMessageBox("no import table"); UnmapViewOfFile(lpbaseAddress); CloseHandle(hFileMap); CloseHandle(hFile); return; } PIMAGE_IMPORT_DESCRIPTOR pImageTable=(PIMAGE_IMPORT_DESCRIPTOR)ImageRvaToVa( pNtHeaders,lpbaseAddress,rva_import_table,NULL); IMAGE_IMPORT_DESCRIPTOR null_iid; IMAGE_THUNK_DATA null_thunk; memset(&null_iid,0,sizeof(null_iid)); memset(&null_thunk,0,sizeof(null_thunk)); for(int i=0;memcmp(pImageTable+i,&null_iid,sizeof(null_iid))!=0;i++) { LPCSTR szDllName=(LPCSTR)ImageRvaToVa(pNtHeaders,lpbaseAddress,pImageTable[i].Name,NULL); //szDllName只是dll名字,但是不是全路径。 AfxMessageBox(szDllName); } 如果是这种,该怎么获取全路径? |
|
[求助]通过PE文件,如何获取其调用的DLL的完整路径??
多谢兄弟的赐教,呵呵,我以后会注意的 |
|
[求助]通过PE文件,如何获取其调用的DLL的完整路径??
这个只能获取到当前的目录,比如我知道notepad.exe有kernel32.dll。那我如何获取到该dll的路径呢?? |
|
[求助]通过PE文件,如何获取其调用的DLL的完整路径??
请求帮忙!!! |
|
[求助]进程CREATE_SUSPEND后无法获取到模块信息
分析进程的import table???可以说的详细点吗?或是给点资料链接也可以,谢谢 |
|
[求助]进程CREATE_SUSPEND后无法获取到模块信息
各位大牛,帮帮忙。急用啊!!! |
|
[求助]如何调试DLL
导出的函数是可以跟进去的,但是其他,比如这里的MyCreateProcessInternal函数就跟不了 |
|
[求助]如何调试DLL
dll的cpp文件 BOOL LRESULT CALLBACK GetMsgProc(int code,WPARAM wParam,LPARAM lParam) { return CallNextHookEx(hHook,code,wParam,lParam); } extern "C" __declspec(dllexport) HHOOK InstHook () { HMODULE hMod = GetModuleHandle("APIHookDll.dll"); hHook = SetWindowsHookEx(WH_GETMESSAGE,&GetMsgProc,hMod,0); return hHook; } WINAPI MyCreateProcessInternalW( HANDLE hToken, LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSECURITY_ATTRIBUTES lpThreadAttributes, BOOL bInheritHandles, DWORD dwCreationFlags, LPVOID lpEnvironment, LPCTSTR lpCurrentDirectory, LPSTARTUPINFO lpStartupInfo, LPPROCESS_INFORMATION lpProcessInformation, PHANDLE hNewToken ) { HMODULE hLib = LoadLibrary("kernel32.dll"); OriCreateProcessInternalW = (_CreateProcessInternalW)GetProcAddress( hLib, "CreateProcessInternalW"); BOOL bRet=(OriCreateProcessInternalW)(hToken,lpApplicationName,lpCommandLine,NULL,NULL,0,CREATE_SUSPENDED,NULL,lpCurrentDirectory,lpStartupInfo,lpProcessInformation,hNewToken); MessageBox(NULL,lpCommandLine,"asdfasdfa",MB_OK); return bRet; } BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch( ul_reason_for_call) { case DLL_PROCESS_ATTACH: { hkA.hModCallerModule = NULL; hkA.pszAPIName = "CreateProcessInternalW"; hkA.pszCalleeModuleName = "kernel32.dll"; hkA.pfnDummyFuncAddress = (PROC) & MyCreateProcessInternalW; hkA.pfnOriginApiAddress = GetProcAddress(GetModuleHandle("kernel32.dll"),"CreateProcessInternalW"); if( FALSE == SetWindowsAPIHook(&hkA) ) MessageBox(NULL,"Hook CreateProcessInternalW失败" ,"Note",0); MessageBox(NULL,"1","1",MB_OK); } break; case DLL_PROCESS_DETACH: if( FALSE == UnhookWindowsAPIHooks(hkA) ) MessageBox(NULL,"UnHook CreateProcessInternalW失败" ,"Note",0); break; default: break; } return TRUE; } |
|
[求助]捕获软件打开行为
比如说我要在打开office软件的时候,捕获到这个打开操作。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值