|
[原创]发一个暴力杀进程小工具源代码
不错。 下来学习了 |
|
[活动结束]看雪十周年论坛活动 [1楼己公布结果]
支持看雪。。 |
|
[分享]IDA 5.5 中文语言文件
支持下。。。。。 |
|
[求助]feof()的底层实现
102383C0 > 55 push ebp 102383C1 8BEC mov ebp, esp 102383C3 8B45 08 mov eax, dword ptr [ebp+8] 102383C6 8B40 0C mov eax, dword ptr [eax+C] 102383C9 83E0 10 and eax, 10 102383CC 5D pop ebp 102383CD C3 retn struct _iobuf { char *_ptr; int _cnt; char *_base; int _flag; int _file; int _charbuf; int _bufsiz; char *_tmpfname; }; 好像是判断 iobuf 中的 _flag 标志吧 |
|
[原创]软件保护壳技术专题 - 使用数学运算式随机生成花指令
强大 支持。。 |
|
[公告]看雪网站十周年现场庆祝活动
支持看雪 |
|
获取扫雷进程句柄的问题
pid=GetWindowThreadProcessId(hwnd,NULL); 改为这个 GetWindowThreadProcessId(hwnd,&pid); GetWindowThreadProcessId 的返回值是 创建这个窗口的线程ID |
|
[原创]福州流感严重啊
我也在福州, 没那么严重吧。。。 |
|
[求助]关于_eprocess遍历进程问题
可以通过进程退出时间来过滤 |
|
最近分析一个东东不能下断点
直接修改 Thread->CrossThreadFlags 还原 ThreadHideFromDebugger 标志应该就可以了 |
|
关于warkey的源代码
安装 WH_KEYBOARD_LL 类型钩子 |
|
[求助]关于内存的快速搜索
注入DLL 去搜索 |
|
[分享]看雪
在现实中还没见过雪 |
|
[求助]有没有什么通用的方法获取下一个eprocess的地址和进程的退出时间...
初学驱动 参考网上代码 XP3 下编译通过 希望对你有帮助 #define PROCESS_ID_OFFSET 0x84 #define IMAGE_NAME_OFFSET 0x174 #define PROCESS_LINK_OFFSET 0x88 #define PROCESS_EXITTIME 0x78 void GetAllProcess() { ULONG curr, next, per; PLIST_ENTRY ActiveProcessLinks; int i = 1; curr = (ULONG)IoGetCurrentProcess();//PsGetCurrentProcess(); ActiveProcessLinks = (PLIST_ENTRY)((PUCHAR)curr + PROCESS_LINK_OFFSET); next = (ULONG)((PCHAR)(ActiveProcessLinks->Flink) - PROCESS_LINK_OFFSET); DbgPrint("EPROCESS --> [0x%08X] PID ---> [%d] ImageName %s", curr, *(PULONG)((PUCHAR)curr + PROCESS_ID_OFFSET), ((PUCHAR)curr + IMAGE_NAME_OFFSET)); while(next != 0) { if(!MmIsAddressValid((PVOID)next)) break; //如果EPROCESS 的 ExitTime 不等于0 说明进程退出了 if( *(LONGLONG*)((PUCHAR)next + PROCESS_EXITTIME) == 0) { //正常来说PID 会小于 0xFFFF 除非是 Idle 进程 (纯属猜测) if(*(PULONG)((PUCHAR)next + PROCESS_ID_OFFSET) < 0xFFFF) { DbgPrint("EPROCESS --> [0x%08X] PID ---> [%d] ImageName %s", next, *(PULONG)((PUCHAR)next + PROCESS_ID_OFFSET), ((PUCHAR)next + IMAGE_NAME_OFFSET)); } else { DbgPrint("EPROCESS --> [0x%08X] PID ---> [0] ImageName Idle", next); } i ++; } ActiveProcessLinks = (PLIST_ENTRY)((PUCHAR)next + PROCESS_LINK_OFFSET); next = (ULONG)((PCHAR)(ActiveProcessLinks->Flink) - PROCESS_LINK_OFFSET); if(next == curr) break; } DbgPrint("进程数量: %d", i); } |
|
|
|
|
|
[分享]Kernel Detective v1.3.0 彻底汉化版
可访问自用户模式 应该是不可以访问吧 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值