|
[原创]页表项(PTE)地址计算公式的解释
系统寻找进程的页表和页目录,只有CR3和指令的虚拟地址可用 |
|
[求助]请问如何理解KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]
ZwCreateFile(...) disassembled mov eax, 17h // system call # is 0x17 for NT (0x20 for 2k, 0x25 for XP) lea edx, [esp+4] // make edx point to function params (user-mode stack) // lea : loads edx with address of user args int 2Eh // execute sys call trap for NT, 2k on x86 // (SYSENTER is used for XP,2003 on x86) ret 2Ch 主要是这种函数的实现决定的,它的第一条指令是mov eax,id,看看原始数据就更清楚了! |
|
[求助]请问如何理解KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]
这篇文章讲的也很清楚了 http://bbs.pediy.com/showthread.php?t=42422&highlight=%E5%BF%85%E5%A4%87+%E5%A4%87%E7%BB%9D+%E7%BB%9D%E6%8A%80 |
|
[求助]请问如何理解KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]
http://www.3800hk.com/news/w31/6643.html :u ZwOpenKey ntoskrnl!ZwOpenKey 0008:80400E2A B867000000 MOV EAX,00000067 | |_ServiceID |_机器码(其中第二字节即ZwOpenKey线性地址加一处就是ServiceID) 0008:80400E2F 8D542404 LEA EDX,[ESP+04] 0008:80400E33 CD2E INT 2E 0008:80400E35 C20C00 RET 000C |
|
|
|
[原创]一个自动加载和卸载驱动sys文件的工具
收到,等有时间在修改,现在实在没时间,公司工作太忙! |
|
[原创]一个自动加载和卸载驱动sys文件的工具
本想把ddk部分的挂ssdt,int 2e,hook pe的代码奉上,看见自己上下都加精了,估计送上也没有,算了! |
|
[原创]一个自动加载和卸载驱动sys文件的工具
编译了一下,发个exe文件! |
|
[注意]看雪论坛鼎力打造---2008年力作《加密与解密》(第三版)[2008年6月上旬上市]
看了一下,有些新东西,值得买! |
|
看看这个古典的题目
5**5+5**4+5**3+5**2+5**1+5**0 |
|
[求助]关于参数调用有点不明白
其实函数调用参数及堆栈的处理方式千变万化,但有一条是不变的,就是保证堆栈平衡,否则就会产生非法访问了 |
|
[求助]请教换算地址的问题
rva的理解而已,取下一条指令的eip,因为cpu是在读取了本条指令后,把eip置为下条指令的值后,才执行已读取的指令。 所以 ue32里的地址=(你要的虚拟跳转地址-下条指令的虚拟地址eip)+ue32里现在的地址 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值