Ta的论坛

IDA打开内核？？？
我觉得你思路就是不正确的。调用NtOpenProcess的函数自然是来自于驱动程序，而不是来自于内核。内核只是导出这个函数，让驱动程序能够正确调用功能。如果你想把所有的NtOpenProcess函数都改成自己的，那你只能在驱动程序里去改了。

要想别人无论怎样Hook都对你没有影响，那你重载一个内核吧。

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-28 15:55: 0

IDA打开内核？？？
内核文件只是提供了对如NtOpenProcess这类函数的导出，具体调用你得看用到这些导出函数的程序。

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-27 15:52: 0

IDA打开内核？？？
内核文件不就是ntkrnlpa.exe或者其它编译模式的文件如ntoskrnl.exe么。

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-25 15:31: 0

[原创]比特币挖矿类产业竟然用在密码破解的行业。。。。。
保持观望。。

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-21 14:21: 0

[求助]SSDT表原始地址怎么关联函数名
楼上正解，具体做法是：
在导出表中找到Nt开头的函数名称，再通过函数地址判断其第一个字节是否为0xb8，0xb8<==>mov ，然后根据mov 后面的整数，即ssdt 索引来关联函数名称。

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-21 13:17: 0

[求助]SSDT表原始地址怎么关联函数名
在ntdll.dll的导出表里面找

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-17 19:37: 0

本人新手，请帮忙分析一下注册算法，应该比较简单的
算了一组：12345678abcd6828，但是不能正确注册。。地方没找对。

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-14 23:58: 0

[原创]第一枚ARM汇编版CrackMe分析
推荐你去看一下非虫大牛的那本书。

Speeday

雪币： 458

活跃值： (306)

能力值：

( LV12，RANK：400 )

在线值：

发帖

22

回帖

353

粉丝

15

关注

私信

Speeday 8 2014-2-13 17:45: 0

[结帖]求助手机定位（请管理员结帖吧）
表示关心，听说警方可以定位到手机最后关机前的地点。

Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-26 15:11 0 [原创]IDA6.1调试Android JNI－STEP By STEP 大牛，在安卓上也搞个OD吧。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-25 16:39 0 [讨论]准备畴备一个在线安全技术竞赛，大家提提意见顶起来。。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-21 12:51 0 [讨论]天书夜读逆向例子，求大牛鉴定。把写好的程序拉进OD，不就知道了。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-19 09:33 0 [原创]iOS平台的ollydbg即将到来，求gikdbg内测伙伴！卧槽，这种东西都出来了，强力支持。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-13 09:29 0 [分享] 给大家推荐个计算机水平测试软件呵~~ 顶一个吧，看起来不错的样子。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-11 22:23 0 [原创]发几个小工具支持有码分享。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-10 15:02 0 [求助帮扶] 让我们出点力帮助林版度过难关！(捐款名单见1楼) 大家还是要多注意身体啊。祝林版早日康复。。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-5 16:08 0 [求助]OD如何显示如下地址的内容 dd [CA0BC0]+[CA0A32]*4-4
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-3 15:24 0 [原创]Windows内核源码详尽分析下载留名，呵呵。。太丰富了。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-3-3 10:48 0 [原创]纯汇写的开发远控无码不精华，大牛，放源码吧。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-28 16:21 0 IDA打开内核？？？我觉得你思路就是不正确的。调用NtOpenProcess的函数自然是来自于驱动程序，而不是来自于内核。内核只是导出这个函数，让驱动程序能够正确调用功能。如果你想把所有的NtOpenProcess函数都改成自己的，那你只能在驱动程序里去改了。要想别人无论怎样Hook都对你没有影响，那你重载一个内核吧。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-28 15:55 0 IDA打开内核？？？内核文件只是提供了对如NtOpenProcess这类函数的导出，具体调用你得看用到这些导出函数的程序。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-27 15:52 0 IDA打开内核？？？内核文件不就是ntkrnlpa.exe或者其它编译模式的文件如ntoskrnl.exe么。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-25 15:31 0 [原创]比特币挖矿类产业竟然用在密码破解的行业。。。。。保持观望。。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-21 14:21 0 [求助]SSDT表原始地址怎么关联函数名楼上正解，具体做法是：在导出表中找到Nt开头的函数名称，再通过函数地址判断其第一个字节是否为0xb8，0xb8<==>mov ，然后根据mov 后面的整数，即ssdt 索引来关联函数名称。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-21 13:17 0 [求助]SSDT表原始地址怎么关联函数名在ntdll.dll的导出表里面找
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-17 19:37 0 本人新手，请帮忙分析一下注册算法，应该比较简单的算了一组：12345678abcd6828，但是不能正确注册。。地方没找对。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-14 23:58 0 [原创]第一枚ARM汇编版CrackMe分析推荐你去看一下非虫大牛的那本书。
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 15 关注私信	Speeday 8 2014-2-13 17:45 0 [结帖]求助手机定位（请管理员结帖吧）表示关心，听说警方可以定位到手机最后关机前的地点。

{{ user_info.username }}