|
[求助]Win10 64位系统不支持ZwQueryInformationProcess
没搞懂你前面为啥要用VirtualAlloc,我贴下我测试的: HMODULE hNtDll = LoadLibrary(TEXT("ntdll.dll")); PFN_NTQUERYINFORMATIONPROCESS pfnNtQIP = (PFN_NTQUERYINFORMATIONPROCESS)GetProcAddress(hNtDll, "NtQueryInformationProcess"); DWORD dwProcessId = GetCurrentProcessId(); HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, dwProcessId); lStatus = pfnNtQIP(hProcess, (PROCESSINFOCLASS)30, cOut, 4, &dwOutLen); |
|
[求助]Win10 64位系统不支持ZwQueryInformationProcess
win10 64 14393,使用OpenProcess,亲测可以的 GetCurrentProcess得到的是伪句柄 |
|
[求助]Win10 64位系统不支持ZwQueryInformationProcess
ZwQueryInformationProcess(GetCurrentProcess( ), (PROCESS_INFO_CLASS)0x0000001e, &ProcessInfo, sizeof(ProcessInfo), HANDLE ProcessHandle , 这个参数不是用GetCurrentProcess(),要用OpenProcess,通过打开对应PID |
|
|
|
[讨论]有关win7_64驱动签名方面的不解
VS2013按模版建驱动工程,直接编译工程,生成的sys就是带测试签名,可以直接加载测试。 |
|
[原创]WIN64驱动编程基础教程(福利:过WIN7/8/8.1签名强制的LIB、过WIN7“补丁守卫”的SRC、吊销的正规数字签名)
+0x438 ImageFileName : [15] UChar 结构是这样的,最多只能显示14个字符,那用这个显示进程名其实是不行的 |
|
[原创]WIN64驱动编程基础教程(福利:过WIN7/8/8.1签名强制的LIB、过WIN7“补丁守卫”的SRC、吊销的正规数字签名)
发现PsGetProcessImageFileName取到的进程名称长度有限制,短进程名称没问题,长名称就不全了,比如hsabculate.exe,最后那个e就没有了,想请教下什么原因?测试的进程枚举那个例子 |
|
[求助]大家帮忙看看这是什么加密算法
诛仙 d |
|
[求助]脱壳DLL后显示Microsoft Visual C++ v7.1 EXE *
我找的OEP: 10052398 6A 0C push 0C ; EP 1005239A 68 10C70610 push 1006C710 1005239F E8 38ECFFFF call 10050FDC 100523A4 8BF9 mov edi, ecx 100523A6 8BF2 mov esi, edx 100523A8 8B5D 08 mov ebx, dword ptr [ebp+8] 100523AB 33C0 xor eax, eax 100523AD 40 inc eax 100523AE 8945 E4 mov dword ptr [ebp-1C], eax 100523B1 85F6 test esi, esi 100523B3 75 0C jnz short 100523C1 100523B5 3915 143E3E10 cmp dword ptr [103E3E14], edx 100523BB 0F84 C5000000 je 10052486 100523C1 8365 FC 00 and dword ptr [ebp-4], 0 100523C5 3BF0 cmp esi, eax 100523C7 74 05 je short 100523CE 100523C9 83FE 02 cmp esi, 2 100523CC 75 2E jnz short 100523FC 100523CE A1 54910610 mov eax, dword ptr [10069154] 100523D3 85C0 test eax, eax 100523D5 74 08 je short 100523DF 难道不对吗 PEID只是根据前面的字节来判断的吧 |
|
[原创]Aspr2.XX_unpacker_v1.0
用脚本跑一个程序,提示“本脚本不支持这版的 Asprotect.”,晕 查出来是这个:ASPack 2.12 -> Alexey Solodovnikov |
|
[求助]外挂是怎么访问游戏npc的啊!
做那个是干吗用的?有前景的话,可以合作啊,提供全脱机技术。 |
|
是否有必要开一个驱动版块
我觉得要开就先确定哪方面的驱动,毕竟驱动细分起来也很多,在看雪开驱动,应该主要方面在 介绍一个核心层的开发模式,交流WINDOWS的底层结构,比如和脱壳相关的 (进程--KPEB)(内存相关 PTE )等之类的。 总之就是能在更底层来操作系统,以方便调试程序。 |
|
Execyptor脱壳脚本
改为F1 90试试 |
|
|
|
[求助]OD中查找输入函数参考出错
只能这样了 这个是ExeCryptor脱壳后的程序,oep stolen code也修复了,有一个API是 写代码直接填的API地址,程序可以运行, 出现上面的问题,不知道是否可能和我脱壳的部分有关。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值