Ta的论坛

[Dynamic,
Description("System Call Enter") : amended,
EventType(51),
EventTypeName("SysClEnter") : amended
]
class SysCallEnter:PerfInfo
{
    [WmiDataId(1),
     Description("SysCallAddress") : amended,
     pointer,
     read]
     uint32  SysCallAddress;
};

[Dynamic,
Description("System Call Exit") : amended,
EventType(52),
EventTypeName("SysClExit") : amended
]
class SysCallExit:PerfInfo
{
    [WmiDataId(1),
     Description("SysCallNtStatus") : amended,
     format("x"),
     read]
     uint32  SysCallNtStatus;
};

basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-12-1 14:06 0 [原创]AI时代-逆向工作者该如何用好这一利器尝试学习下
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-11-27 10:00 0 [原创]进程伪装原理与破除不错期
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-11-18 10:25 0 [分享]VMProtect3.5.1反调试爆破之AntiVmp v1.0beta插件 6666666
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-11-14 15:07 0 [原创]对某市场外挂驱动逆向分析看一看
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-10-23 21:05 0 [讨论]隐藏驱动代码签名证书信息 kankan
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-10-20 08:46 0 [分享]邪修能去企业级的去签工具（半成品）学习一下
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-10-13 18:53 0 [原创]静态程序分析之数据流分析(Foundations + LiveVar Analysis Code)续
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-10-11 18:39 0 [原创]无"痕"加载驱动模块之漏驱利用(下) 感谢分享
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-10-9 11:51 0 [原创]利用 API Set 实现无DLL注入的API重定向与劫持学习学习
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-26 10:38 0 [原创]逆向玩家的免杀入门：9天搞定360核晶+卡巴动态查杀 11111111111
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-24 00:02 0 [原创] 没什么用之——R0下不一样的SSDT Hook kankan
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-23 23:53 0 获取发起DNS请求的真实进程及请求域名，不是取服务进程svchost.exe 看了下这个guid其实就是API 函数 DnsQuery里的etw事件guid，对于自己raw构建dns协议请求无效
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-23 23:47 0 获取发起DNS请求的真实进程及请求域名，不是取服务进程svchost.exe kankn
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-21 22:50 0 [原创]AI逆向50页长文掌握 IDA Pro MCP 逆向分析利器 66666666666
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-21 08:30 0 [原创]无"痕"加载驱动模块之傀儡驱动 (上) 谢谢分享
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-20 17:39 0 [分享]分享个IDA9.0汉化谢谢分享
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2025-9-17 15:28 0 读写键鼠绘制驱动开源学习了
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2022-2-17 11:00 0 【踩楼赠书】国内首著：ATT＆CK框架实践指南来一本
basketwill 雪币： 3704 活跃值： (2536) 能力值： ( LV9，RANK：160 ) 在线值：发帖 28 回帖 183 粉丝 79 关注私信	basketwill 2 2022-2-17 10:52 0 [原创]使用ETW监控冒个进程创建和启动服务以及加载驱动程序一半人生 etw的systemcall监控可以知道那个进程的吗？还是只有api地址 [Dynamic, Description("System Call Enter") : amended, EventType(51), EventTypeName("SysClEnter") : amended ] class SysCallEnter:PerfInfo { [WmiDataId(1), Description("SysCallAddress") : amended, pointer, read] uint32 SysCallAddress; }; [Dynamic, Description("System Call Exit") : amended, EventType(52), EventTypeName("SysClExit") : amended ] class SysCallExit:PerfInfo { [WmiDataId(1), Description("SysCallNtStatus") : amended, format("x"), read] uint32 SysCallNtStatus; };

{{ user_info.username }}