|
|
|
[原创]I/O HOOK大法
好像还不够底层 |
|
[原创]我写的模拟挂
求贴名或者地址,有介绍底层的USB键鼠模拟么 |
|
|
|
如何获取调试器进程
PEB里有木有相关信息…… |
|
[讨论]纯粹是报到帖和牢骚贴//
加强技术水平,总有机会可以做到做自己想做的事 |
|
[讨论]搜狐畅游招聘内幕坑爹呀有木有
聪明的公司用高价买能力而不是学历或者资历 |
|
求助汇编指令与机器指令的转换问题
首先提一点处理机器指令的时候时候以16进制字节为单位,按二进制的看会纠结死的。 关于这个问题最官方最权威的是《IA32手册第二卷》,讲解指令编码,Intel官网上有最新的…… 看雪上已经有这一卷的中文版本了,个人感觉除了最后一个附录外翻译质量都极高: http://bbs.pediy.com/showthread.php?t=84369&highlight=Intel 其中正文讲的是编码,附录A是操作码表,看着两个足矣解决LZ的问题,最后到OD里实践一下即可~ |
|
[翻译]Intel开发人员手册-第3卷系统编程指南 第二章—系统架构总览
LZ辛苦了,感谢楼主的劳动。 OldLinux上曾经翻译过老版本的手册第三卷1-12章,看起来是04年之前的(没有IA32E模式的内容)。考虑到第三卷的内容多,LZ是否可以考虑下翻译OldLinux所翻译的版本中没有的部分,比如IA32E还有VMX,这方面的中文资料目前几乎是一片空白…… |
|
大悲剧,写了个模拟挂几天就被检测出来了
或者它查了查特征码啥的,然后它的特征码有找得比较准,LZ正好躺枪 |
|
大悲剧,写了个模拟挂几天就被检测出来了
直接传递IRP还不够底层哦,如果对方做得更底层的话就…… |
|
[求助]windows驱动安装,启动,停止,卸载代表什么呀
推荐LZ使用Visual DDK这样的插件配合VS2010(也可以直接用VS2012)开发,这种基本框架这样的细枝末节不用自己操心啦 |
|
[求助]windows驱动安装,启动,停止,卸载代表什么呀
驱动程序的加载是由系统的IO管理器负责的,用户层的程序只是把加载的请求提交给IO管理器,然后由IO管理器完成加载。加载驱动程序的时候会向系统注册初始化例程(比如DriverEntry)、卸载例程等,至于设备的创建,在NT式驱动中,由初始化例程执行AddDevice()实现,WDM式驱动中则是提供一个建立设备的例程的指针,交由系统调用这个例程(其实效果也差不多)。最后IRP处理例程的设置是针对设备的。 要分清楚驱动和设备的概念…… 关于Windows NT内核对于驱动程序/设备的管理,可以参考: 《Windows内核原理与实现》 《Windows Internals》 关于驱动程序的编写,可以参考《Windows驱动开发技术详解》,该书对于驱动程序的基本架构介绍比较详细(包括NT式和WDM式)。。。不过没有特殊情况不用纠结这些最基本的东西,现成的例子或者向导生成的代码都可以用,自己写很可能还会搞错某些地方BSOD几次T_T |
|
[求助]windows驱动安装,启动,停止,卸载代表什么呀
Ring3 syscall NtOpenFile->IRP_MJ_CREATE Ring3 syscall NtCloseHandle->IRP_MJ_CLOSE 推荐用自动生成代码的向导之类的处理这些基本的内容,不用过于纠结 |
|
|
|
保护进程不被kill
如果效果要好,就得在内核动手脚了 初级: SSDT hook/Inline hook NtOpenProcess之类的 中级: object hook 替换掉process object的create函数 高级:…… 要挡住ARK工具的话比较麻烦 |
|
[求助]用od无法调试梦幻西游
现在大点的游戏肯定都带保护了,内核里Hook一下KiAttachProcess(或者更深入的KiMoveAPCState啥的)附加就悲剧了,还有DebugPort清零、Object Hook啥的…… |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值