Ta的论坛

better

拉黑关注私信

头图
皮肤套装

使用

主题(33) | 回帖(324) | 精华(2)

better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-29 12:15 0 [北京][招聘]安信华公司诚聘系统开发工程师顶~~~~~~~
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-19 13:40 0 [原创]一个禁止任何ring3调试的驱动中断后SS，ESP是从TSS获得的，不过我记得windows没有使用TSS的其它部分 sysenter有所不同，该指令更没有用到TSS，我记得是sysenter后是叫一个临时DPC栈，然后由_KiSystemCall中的指令读取TSS中的SS，ESP再切换到真正的内核栈。我说的可能有错误，欢迎指正！
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-19 11:13 0 [杭州][招聘]网易诚招游戏安全工程师(有职位更新） O(∩_∩)O~，你要的经验可不一般哦，呵呵
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-19 10:08 0 [原创]一个禁止任何ring3调试的驱动刚进ring0，但所有的段选择子都是ring3下的（详见Intel手册），因为windows下ds，es，gs是不变的，所以只改fs，上面这段asm来自WRK，有些教程都没有这个步骤是错误的。如果你用windbg来调试，fs会被调试器自动设置为30h，所以在windbg下这个错误很难被发现（何况int1，int3是不可调试的）
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-18 17:25 0 [原创]一个禁止任何ring3调试的驱动 IDT也能切换？
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-18 17:20 0 驱动与r3交互的问题 R3发一个异步IRP，有进程启动后由驱动完成该IRP，这样R3就会被唤醒go on~~~
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-18 13:51 0 [原创][分享]一次不愉快的面试经历呵呵，我觉得去面试必须要把姿态放低~~
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-18 09:45 0 [原创]检测调试器（过StrongOD）仅仅作为方法之一，别忘了StrongOD是隐藏窗口的~~试试变知
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-17 16:12 0 [原创]检测调试器（过StrongOD）关键是已经能够找到窗口的句柄了，这样就有很多方法去判断窗口，GetWindowText只是最简单的一种
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-17 14:52 0 [原创]检测调试器（过StrongOD）对于方法二，估计有点难！顺便吧，StrongOD hook的API帖出来 >SSDT State NtClose Actual Address 0xF0389268 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtCreateProcess Actual Address 0xF03892C8 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtDuplicateObject Actual Address 0xF03891E8 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtOpenProcess Actual Address 0xF0388E18 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtOpenThread Actual Address 0xF0388F28 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtQueryInformationProcess Actual Address 0xF0389068 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtQueryObject Actual Address 0xF0388D78 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtQuerySystemInformation Actual Address 0xF0388988 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtSetInformationThread Actual Address 0xF0389018 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtYieldExecution Actual Address 0xF0388E08 Hooked by: C:\OllyDBG\plugin\whlsod.sys >Shadow NtUserBuildHwndList Actual Address 0xF0389558 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtUserFindWindowEx Actual Address 0xF0389718 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtUserGetForegroundWindow Actual Address 0xF03897A8 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtUserPostMessage Actual Address 0xF0389518 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtUserQueryWindow Actual Address 0xF0389478 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtUserSetParent Actual Address 0xF0389838 Hooked by: C:\OllyDBG\plugin\whlsod.sys >Hooks [1044]Ollydbg.exe-->kernel32.dll-->ContinueDebugEvent, Type: IAT modification 0x0050D2B8 [StrongOD.dll] [1044]Ollydbg.exe-->kernel32.dll-->CreateProcessA, Type: IAT modification 0x0050D2C4 [StrongOD.dll] [1044]Ollydbg.exe-->kernel32.dll-->DebugActiveProcess, Type: IAT modification 0x0050D2C8 [StrongOD.dll] [1044]Ollydbg.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x0050D344 [StrongOD.dll] [1044]Ollydbg.exe-->kernel32.dll-->MultiByteToWideChar, Type: IAT modification 0x0050D3C8 [StrongOD.dll] [1044]Ollydbg.exe-->kernel32.dll-->WaitForDebugEvent, Type: IAT modification 0x0050D440 [StrongOD.dll] [1044]Ollydbg.exe-->ntdll.dll-->NtCreateProcess, Type: Inline - RelativeJump 0x7C92D754 [StrongOD.dll] [1044]Ollydbg.exe-->ntdll.dll-->NtCreateProcessEx, Type: Inline - RelativeJump 0x7C92D769 [StrongOD.dll] [1044]Ollydbg.exe-->user32.dll-->CreateMDIWindowA, Type: IAT modification 0x0050D7F4 [StrongOD.dll] [1044]Ollydbg.exe-->user32.dll-->DialogBoxParamA, Type: IAT modification 0x0050D81C [StrongOD.dll] [1044]Ollydbg.exe-->user32.dll-->EnumChildWindows, Type: IAT modification 0x0050D83C [StrongOD.dll] [1044]Ollydbg.exe-->user32.dll-->GetClassLongA, Type: IAT modification 0x0050D858 [StrongOD.dll] [1044]Ollydbg.exe-->user32.dll-->GetWindowLongA, Type: IAT modification 0x0050D8B0 [StrongOD.dll] [1044]Ollydbg.exe-->user32.dll-->GetWindowTextA, Type: Inline - RelativeJump 0x77D3212B [unknown_code_page] [1044]Ollydbg.exe-->user32.dll-->RegisterClassA, Type: IAT modification 0x0050D920 [StrongOD.dll] [1044]Ollydbg.exe-->user32.dll-->SetWindowTextA, Type: IAT modification 0x0050D96C [StrongOD.dll] 还有1个CreateProcess Notfiy
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-8-6 10:32 0 [招聘]腾讯公司（北京）招病毒分析可惜我在杭州啊，不然可以试试
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-7-8 18:11 0 [分享]IDA 6.1 版本不能F5的解决办法每次打开都要设置，有没有永久的设置
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-7-6 16:33 0 [求助]在反汇编的过程中经常看到函数的开头是mov edi,edi，这是啥意思？我在MFC42.dll中是5个CC，可能是调试版的原因吧 http://blog.csdn.net/jcwkyl/article/details/3598982
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-4-6 10:46 0 boot引导程序，初始化段寄存器的疑问，求高手指点为啥说es必须为0,2-4行只保证了cs，ds，es在同一段而已
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-3-25 10:52 0 终于找到了歼十出击的观看地址，来这和大家分享下！没了没了~~~~
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-3-4 19:59 0 [求助]程序运行到MessageBox时就出错？是不是把该Dll做成服务了。
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2011-2-23 10:47 0 [求助]用户模式到内核模式参数拷贝问题用户模式拷贝到内核模式，线程不会调度。不是驱动的ioctl，呵呵

精华数

RANk

331

雪币

57

活跃值

关注数

粉丝数

0

课程经验

0

学习收益

0

学习时长

基本信息

能力排名： No.1076

等级： LV7

活跃值

活跃值：

活跃值

在线值：

浏览人数：276

最近活跃：----

注册时间：2006-08-14

勋章

能力值