|
[求助]逆向完整替换
这个更复杂啊。。 |
|
[求助]逆向完整替换
我知道啊。。 我意思是怎么替换,如果sys是以资源的方式存在exe中。。每次打开exe都直接替换。。 会不会是自己写的驱动符号链接弄成和原来的驱动一样的。。然后卸载掉原来的驱动。。再安装自己的驱动啊?当然这样我觉得也不靠谱。。 |
|
已经解决 [求助]ObOpenObjectByName 调用失败
OPEN_PACKET 这个结构应该有初始化函数吧 |
|
|
|
[讨论]现在写Anti—rookit工具感觉像在写gh0st
现在写ARK大多是参考。。自己就是学个过程 |
|
[讨论]现在写Anti—rookit工具感觉像在写gh0st
界面不重要,不是太繁琐就行了 |
|
[原创]重读老文章系列:内核同步那些事儿
老V我你是不是神父?我蛮好想资助的。 |
|
[求助]R3无驱动进入R0
我已经实验成功了,现在的问题不是权限的问题,是JMP的问题。。我没弄白 |
|
[求助]R3无驱动进入R0
那你别研究了,现在都是WIN7你什么都找不到了。。好了大家都别学了是吧? |
|
[求助]R3无驱动进入R0
能不能解释下我之前的疑问 |
|
[求助]R3无驱动进入R0
http://bbs.pediy.com/showthread.php?t=68729 自己测试下把。XPSP2。3 单核。。 |
|
[求助]R3无驱动进入R0
无语了,居然执行完了 status=NtVdmControl(0x4000,buffer); lkd> u nt!NtVdmControl nt!NtVdmControl: 805f25bc e953eae07f jmp 00401014 确实可以HOOK内核的服务函数,然后jmp 00401014,问题是00401014是我用户空间的 Ring0Code的函数,调用了NtVdmControl确实执行Ring0Code实现进程隐藏,XT在UNHOOK检测到NtVdmControl被hook了,同时执行了Ring0Code检测到隐藏进程 现在的问题是为什么内核代码可以JMP到用户空间。。。这个最疑惑的地方。。 NtVdmControl利用这个函数我怀疑就是他永远不会调用,以防在HOOK后还没来得及unhook有别的线程切换导致蓝。。 例外一个设想。。可以调用R3的shellcode,那么应该可以在内核区域分配一块分配一块内存来进行JMP来jmp去。这个分配R0区域在R3层怎么实现呢?。或者利用飞地可能不用分配就是实现JMP来来回回。 |
|
[求助]R3无驱动进入R0
这个在无安全软件hook NtVdmControl的情况下是可以实现了。。 但是我在WRK中找不到NtVdmControl的作用,反正根据网上的文章都是操作NtVdmControl, 不过我觉得通过\\Device\\PhysicalMemory可以HOOK任何函数。。。 求NtVdmControl的作用。。 |
|
[求助]R3无驱动进入R0
// 以可读写ACL权限打开PhysicalMemory status = ZwOpenSection(&hSection, READ_CONTROL | WRITE_DAC, &oa); 这个地方失败了。。 大牛们说的以管理员方式启动再XPSP3下怎么个情况啊? 内核是ntkrnlpa,开了PAE的单核,能实现么 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值