|
|
|
|
|
[原创]巧妙的伪装系统版本号和系统位数
我就不信你能让64位pe在32位系统运行起来 |
|
|
|
|
|
[求助]用CreateProcess执行一个外部卸载程序,如何知道用户卸载成功了还是中途取消卸载了呢?
这个完全是个不是问题的问题。。。。。比如,什么叫安装了什么叫没安装? 一个程序可以写N多注册表也可以任何注册表不写 他的位置可以在磁盘任何一个文件夹里面 简而言之,所谓一个程序是不是安装了,没有任何判断标准 比如,某些程序,可能就只需要把他的exe放到一个找的都的地方,这就叫安装了。。。有的可能还需要再注册几个ocx什么的。。。 这个与日常的你从u盘copy个文件到你电脑没什么区别 你如果要觉得,“36X那些都做到了,那肯定是有一个确定的标准判断一个程序是不是安装了” 我只能说,你也是小白 |
|
[求助]CLOSED
不是问题的问题。。。 |
|
yiuyiyi
[p[[;o;i;poipip |
|
[原创]QQ电脑管家中的 Hook 过程分析
[QUOTE=Fypher;1043918]插DPC解决多核的同步问题我最初是在 《RootKits》一书上看到,不过相比书里的方法(DPC历程死循环)我觉得这里处理得更有技巧。[QUOTE] 这个。。。貌似是从金山抄来的。。。。不过无所谓了。。。。大家都这么搞,说不上谁抄谁了 |
|
[讨论]在win 7 x64 和WIN8 X64文件保护的技术路线
看要求了。。。。如果仅仅是控制读写删除权限,不关心读写内容(比如根据不同内容决定是允许还是禁止操作),nt6平台除win8外,可以通过改OBJECT相关结构体内容,实现注册IoFileObjectType类型的ob回调。。。。。win8的话,刚证实。。。。。改那个support的bit会被pg蓝屏。。。所以还是得FSD相关驱动了 |
|
[讨论]Minifilter驱动中获取读写文件的偏移量和长度
这个回答够经典。。。。。。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
然后我来总结下某人的观点以及最后我经过证实的结果: 1、win8里改driver的section使得没有数字签名的驱动可以注册ob回调,这个会被pg蓝屏------这个经过证实,子虚乌有,没这个问题 2、win8里改support那一个bit使得原本不支持ob回调的支持ob回调,会被pg蓝屏--------这个经过证实确实是这样 3、win7貌似也存在以上两个问题------这个经过证实,以上两个问题在win7之前的系统上都不存在 |
|
|
|
[分享]用ObRegisterCallbacks实现进程防杀
我windbg看过了 win8的object的结构体定义与win7已经不一样了 sanboxie应该还是用的以前的定义。。。。。挂掉也在所难免 |
|
[分享]用ObRegisterCallbacks实现进程防杀
这个。你之所以会蓝屏 多半是LDR_DATA_ENTYRY的定义出问题了,人家MS没说这个结构体一定不会变 这个SECTION都是根据用户自己的PE文件的内容填充的,pg做检查的话,依据何在? |
|
[分享]用ObRegisterCallbacks实现进程防杀
再者 动态填充,除非每次填的都是同样的内容,否则。。。。你凭什么检查 举例来说,PsProcess这个指针里面,存的是启动时申请的一块内存的首地址。。。。。这块内存里填的是OBJECT_TYPE 你如何可以保证每次申请的这块内存的地址都是一样的?既然不能保证(即使有办法实现,但是我想MS不会这么狗血,太蠢了),检查的依据在哪?因为我可以自己再申请一块内存,然后(*PsProcess)=MY_OBJECT_TYPE_PTR 你有检查的依据吗,这样。。。 我真怀疑你是不是真的自己实际试验过。。。最好截图出来 |
|
[分享]用ObRegisterCallbacks实现进程防杀
至于你说的。。。。改support call back这个被pg检查出来的。。这个完全一点不靠谱 我改完了马上注册。。。。注册完回调了马上还原。。。。你是哪只眼睛看到我改了的? 如果说我改完了,然后还原前就被pg看到了。。。。。那算我踩到狗屎了。。。。。不过不会每次都这样吧?这种几率可以当他不存在 |
|
[分享]用ObRegisterCallbacks实现进程防杀
你记得OBJECT HOOK在win7也会监测。。。那你把你win7的测试结果记得发出来看看? 试过再说吧 关于win8.。。。。我没测试过。。。所以不评论 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值