|
[原创]NDIS Filter Drivers指南
谢谢分享,支持一下 |
|
[原创]代码Hook之指令级实现
看标题还以为是指令拦截,没想到是inline hook |
|
|
|
|
|
[求助]已过了*P的一处效验
eda4f0f0 8f02 pop dword ptr [edx] eda4f0f2 e9c5f1ffff jmp TesSafe+0xba2bc (eda4e2bc) hook这里,判断edx是不是调试端口,是调试端口就add esp,4 否则就pop dword ptr [edx],再跳jmp TesSafe+0xba2bc (eda4e2bc) 很简单的逻辑 |
|
|
|
|
|
|
|
|
|
已经过了某P的驱动
OD被检测了 |
|
[申精][开源]自己写的非附加调试的内存监视器
以前做过测试,程序开启DEP,如果某个地址改成PAGE_READONLY属性的话,整个程序都只可读,然后VirtualProtect返回就崩溃,注册的异常处理函数根本捕获不到 |
|
[原创]基于VT技术的OllyDbg插件Ddvp
路过,来支持一下 |
|
|
|
[原创]元旦开源 AntiDebug
很全面,来支持下 |
|
[求助]zwsetinformationprocess 关闭DEP失败
SetProcessDEPPolicy试试 |
|
[求助]zwsetinformationprocess 关闭DEP失败
zwset怎么关闭的? |
|
[求助]如何获取当前指令在内存中的地址?
挂起,GetThreadContext |
|
两个驱动之间通信
另外,驱动层相互通信,也可以参考应用层跟驱动层通信API,即DeviceIoControl 这个API对应的内核函数是ZwDeviceIoControlFile,这个函数是导出的,可以直接调用 |
|
两个驱动之间通信
几个关键内核函数的的应用而已,详见MSDN 内存映射完成通信,关键函数: ZwCreateSection创建 ZwOpenSection打开 ZwMapViewOfSection映射 事件对象用来同步,关键函数: ZwCreateEvent创建 ZwOpenEvent打开 KeSetEvent激活 KeResetEvent释放 KeWaitForSingleObject等待 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值