|
|
|
|
|
|
|
[求助]注入到svchost.exe不能调用MessageBox
额,MSDN,你这种聪明人花一点时间看下就知道了。 我只不过是因为有过这种需要而已,看过而已。 其实前面没说清楚。我用的方法比较繁琐,要操作句柄。 建议的简单有效的方法,还是在每个GUI线程最开始设置下WindowStation/Desktop 另外,请注意在窗口里响应注销,释放相应桌面的GUI资源,否则,呵呵。。。 |
|
[求助] 逆向编程
算了....... |
|
[求助]注入到svchost.exe不能调用MessageBox
服务进程默认的桌面一般为Service0x0-xxx$\Default; 桌面用户可见的桌面为WinSta0\Default,所以只要把当前进程WindowStation改为WinSta0,并把进程里面所有线程的桌面关联到WinSta0\Default就行了。 可以在Service初始化的时候设置下WindowStation为WinSta0,之后新创建的所有GUI线程应该会自动挂接到WinSta0\Default桌面下 |
|
[求助]注入到svchost.exe不能调用MessageBox
服务进程不是不带GUI,而是桌面不同。可以通过一些手段绑定到默认桌面来显示 |
|
[原创]浅谈汇编中的空操作
不在回复此帖。也请别再理会本人的言论 |
|
[原创]浅谈汇编中的空操作
受不了你,别跟咬这些翻译的东西 我只认识指令集。INTEL 设计的指令集是易于实现,人家就是用eax与eax交换相当于不执行任何操作来表示NOP指令怎么了?INTEL用90表示NOP,用脚后跟想都知道跟XCHG指令有关系,但这是内部实现而已。但并不表示90就对应于指令xchg eax,eax,也不代表汇编器应该将xchg eax,eax翻译为90。 你自己看INTEL手册的OPCODE MAP,看看90那个格子到底写的是什么~ 我不认为咬这些屁玩意有什么意思。 你们爱怎么理解怎么理解吧。 你们高手继续研究吧,我这种菜鸟不发言 |
|
[原创]浅谈汇编中的空操作
不想多说,你自己去看INTEL的手册。 |
|
[原创]浅谈汇编中的空操作
另外,如果我没记错,实际上是不存在XCHG (E)AX,(E)AX这条指令。 如有疑问请自己翻IA-32 Intel Architecture Software Developer's Manual, Volume 2B Instruction Set Reference, N-Z中的APPENDIX AOPCODE MAP |
|
[原创]浅谈汇编中的空操作
屁高超技艺。 我没说OD偷懒怎么样,只是陈述我的推测,不过别在那里给它戴高帽子。 本人也是懒人,写程序也喜欢搞点所谓的“技巧”来简化操作,你所谓的“高超技艺”也用过, 不过写代码到今天已经很老实了。 编码上的技巧无所谓,如果是这种流程逻辑上的所谓“技巧”,只能给别人理解你的代码造成障碍。有相当数量的BUG也都是这种“高超技艺”引起的 |
|
|
|
[原创]浅谈汇编中的空操作
楼主还真是“发现新大陆”了 |
|
[原创]浅谈汇编中的空操作
NOP—No Operation Description This instruction performs no operation. It is a one-byte or multi-byte NOP that takes up space in the instruction stream but does not impact machine context, except for the EIP register. The multi-byte form of NOP is available on processors with model encoding: • CPUID.01H.EAX[Bytes 11:8] = 0110B or 1111B The multi-byte NOP instruction does not alter the content of a register and will not issue a memory operation. The instruction’s operation is the same in non-64-bit modes and 64-bit mode. Operation The one-byte NOP instruction is an alias mnemonic for the XCHG (E)AX, (E)AX instruction. The multi-byte NOP instruction performs no operation on supported processors and generates undefined opcode exception on processors that do not support the multi-byte NOP instruction. The memory operand form of the instruction allows software to create a byte sequence of “no operation” as one instruction. For situations where multiple-byte NOPs are needed, the recommended operations (32-bit mode and 64-bit mode) are: |
|
|
|
[原创]内核枚举加载驱动程序
Virtual Memory Scan |
|
|
|
[求助]谁能具体解释下恢复SSDT需要的操作
最直接的思路 1)获得内核基址 2)读取内核文件,并按照实际基址进行加载的处理(主要是重定位,最好也处理下导入) 3)通过自己"加载"的镜像得到SSDT 和 SHADOW SSDT位置,与实际内核镜像 memcmp就行了 这两个表内核是不需要动态修改,所以我们处理的结果应该与实际内存内容一样 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值