|
[原创]PE2Shellcode
不错不错 |
|
如何利用映像回调(PsSetLoadImageNotifyRoutine)来拦截dll加载
求大神贴个能成功执行的锁定代码~~~ 我在win7 x64上成功获取了这个锁的地址: ULONG AddressCreationLockOffset=0X218;//win7x64偏移 PEX_PUSH_LOCK PLOCK = &(*(EX_PUSH_LOCK*)((char*)myep + AddressCreationLockOffset)); 然后执行KeReleaseGuardedMutex(PLOCK); 在这个函数里我继续跟踪: fffff800`03edec60 4883ec28 sub rsp,28h fffff800`03edec64 488bd1 mov rdx,rcx fffff800`03edec67 48c7410800000000 mov qword ptr [rcx+8],0 fffff800`03edec6f b801000000 mov eax,1 fffff800`03edec74 f00fc101 lock xadd dword ptr [rcx],eax fffff800`03edec78 85c0 test eax,eax fffff800`03edec7a 7521 jne nt!KeReleaseGuardedMutex+0x3d (fffff800`03edec9d) fffff800`03edec7c 65488b042588010000 mov rax,qword ptr gs:[188h] fffff800`03edec85 668380c601000001 add word ptr [rax+1C6h],1 fffff800`03edec8d 7509 jne nt!KeReleaseGuardedMutex+0x38 (fffff800`03edec98) fffff800`03edec8f 4883c050 add rax,50h fffff800`03edec93 483900 cmp qword ptr [rax],rax fffff800`03edec96 751f jne nt!KeReleaseGuardedMutex+0x57 (fffff800`03edecb7) fffff800`03edec98 4883c428 add rsp,28h fffff800`03edec9c c3 ret fffff800`03edec9d a802 test al,2 fffff800`03edec9f 75db jne nt!KeReleaseGuardedMutex+0x1c (fffff800`03edec7c) fffff800`03edeca1 ffc0 inc eax fffff800`03edeca3 8d48fe lea ecx,[rax-2] fffff800`03edeca6 f00fb10a lock cmpxchg dword ptr [rdx],ecx fffff800`03edecaa 75d0 jne nt!KeReleaseGuardedMutex+0x1c (fffff800`03edec7c) fffff800`03edecac 488d4a18 lea rcx,[rdx+18h] fffff800`03edecb0 e8e7b6faff call nt!KeSignalGateBoostPriority (fffff800`03e8a39c)fffff800`03edecb5 ebc5 jmp nt!KeReleaseGuardedMutex+0x1c (fffff800`03edec7c) fffff800`03edecb7 4883c428 add rsp,28h fffff800`03edecbb e9f08af9ff jmp nt!KiCheckForKernelApcDelivery (fffff800`03e777b0) 进入了 nt!KeSignalGateBoostPriority,随后在这个函数的: mov rsi,qword ptr [rbp] ss:0018:fffffa80`26a56d68=0000000000000000 //这里异常了 RBP地址内存储的数据为0,然后就不知道如何是好了~~求指导 上面获取的PEX_PUSH_LOCK 的地址是正确的,已查看过了 |
|
|
|
|
|
[分享]那些年我们一起爆的PatchGuard
你的资料来自于TA的内部培训资料,你直接公开了,还叫人家搞培训吗,不明白你是怎么想的 |
|
[求助]驱动如何在指定进程中内存写入
先用try catch抱起来,防止发生意外 |
|
[求助]如何在内核中修改IP
不会了,只能默默的关注你们了 |
|
追上我的女神了,求祝福,冒风险开贴散分,求管理不黑
祝福你呀,顶起 |
|
win7 64位能加载32位的驱动吗?
不能用的 |
|
|
|
[求助]VC如何判断某个IE的BHO是否启用
IE的配置项都在注册表里,BHO相关的信息都在注册表里,所以通过读取注册表配置就可以确定这个BHO是否加载了,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions 这个注册表项里就有一部分,其他的你自己找找吧,呵呵, |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值