|
[求助]关于切换CR3读写进程内存时目标进程不在内存中
JWPL 创建一个傀儡进程。 DirectoryTableBase里面存的就页目录表基址。想读哪个进程,就把傀儡进程的DirectoryTableBase改成哪个进程的的。再用标准api读傀儡进程内存,很安全的 ...直接改KPROCESS的CR3,会导致优化WorkingSet线程在MiCheckProcessShadow会蓝,导致MEMORY_MANAGEMENT。WIN10-64-1809。 ffffc086`56697770 fffff807`5e6c3f53 : ffffd30b`a04b2640 00000000`00000001 00000000`00053053 00000000`00000000 : nt!MiCheckProcessShadow+0x157691 ffffc086`566977d0 fffff807`5e742675 : 00000000`00000000 ffffc086`56697a80 ffffc086`566979b0 00000000`00000000 : nt!MiTrimOrAgeWorkingSet+0x5d3 ffffc086`566978b0 fffff807`5e741056 : fffff807`00000001 00000000`00000000 fffff807`5ea5a980 ffffd30b`94e430f0 : nt!MiProcessWorkingSets+0x255 ffffc086`56697a60 fffff807`5e79bc17 : 00000000`00000002 00000000`00000002 00000000`ffffffff 00000000`00000001 : nt!MiWorkingSetManager+0xaa ffffc086`56697b20 fffff807`5e65aa45 : ffffd30b`94f79080 00000000`00000080 fffff807`5e79bad0 00000000`00000000 : nt!KeBalanceSetManager+0x147 ffffc086`56697c10 fffff807`5e7d7c3c : fffff807`5ce27180 ffffd30b`94f79080 fffff807`5e65a9f0 00000000`00000000 : nt!PspSystemThreadStartup+0x55 ffffc086`56697c60 00000000`00000000 : ffffc086`56698000 ffffc086`56692000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x1c 用隐藏进程之类把能遍历到的EPROCESS的双链干掉依旧会出发该BSOD。 TrimWorkingSet线程在另外一份内存会枚举到改了CR3的EPROCESS,时间一到准备优化Pages的时候就BSOD。 |
|
|
|
[求助]关于Win32汇编的lock前缀
提出这个问题的时候我也在考虑这了,我也知道CPU是先读取一条指令,进行解码后执行 那么lock前缀应该就是把它先卡在解码后与执行前之间,这时候更改了当前指令应该是不影响的,会按原来的执行。 不过当时就是没信心,不知道自己这样想有没有错。 |
|
|
|
|
|
|
|
[原创]软件保护壳技术专题 - 添加新节(练习笔记)
可能思路都是一样的原因吧,跟老罗的WIN32汇编有比较大的相似性。 |
|
|
|
[讨论]搞安全,路在何方?---研究生的迷茫!
pencil你还真活跃,楼主,我跟你一样寂寞…… |
|
[推荐]终于找到卖软件加密技术内幕的店子了,要的从速!!
广告再见456 |
|
[求助]伪指令CARRY?反汇编的结果不懂
这两条指令都是根据标志寄存器中CF位的置否来决定是否跳转。 |
|
|
|
向大家推荐几本加密解密的基础书籍
已经学完上述的3本了,或许本人资质有限,还是再努力一下吧! |
|
在线求汇编转译
建议楼主去下一个masm32开发包,里面的help文件夹下的opcodes.chm说得满清楚的~ CDQ - Convert Double to Quad (386+) Usage: CDQ Modifies flags: None Converts signed DWORD in EAX to a signed quad word in EDX:EAX by extending the high order bit of EAX throughout EDX Clocks Size Operands 808x 286 386 486 Bytes none - - 2 3 1 99 CDQ EDX:EAX 简单来说就是把EAX的有符号双字转换成 EDX:EAX 的4字数据,扩展EAX的符号位~ |
|
[求助]为什么加解密一定要用C,C++不行吗?
对PE文件的加密解密是底层技术,如C# JAVA之类的高级语言连个指针都找不到,何来谈加密 加密很底层的 自由度很高的语言,自然就归属于汇编了~当然C也可以……调用别人写好的模块吧 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值