|
[原创]ring3反注入......
hook NtAllocateVirtualMemory或NtProtectVirtualMemory防输入法(按理来说,输入法注入应该会有LoadLibraryExW"回调") 貌似我记得网上还有种防输入法的途径,是通过消息的。 以前弄过这东西,后来发现XT有专门检测... |
|
[原创]白话windows之 会话、工作站、桌面、窗口之间的关系
好吧,我承认我才学疏浅,做个渔人比做个愚人要好 1. 我用NtAllocateVirtualMemory向system申请的内存,提下权就行了 2. 我用Kernel Detective查看的线程;若用XT才无语,system模块有ntdll.dll存在 3. 据我了解父进程为system,子进程也会一样。因此我对所用的PS API甚感兴趣。 |
|
[原创]白话windows之 会话、工作站、桌面、窗口之间的关系
我的理解: 1 0,4号进程都是内核的宿主(system也能被R3进程申请分页内存),哪个进程的非分页内存里的才是存放内核映像。 2. 我发现ntdll,ole等有仅存在于Idle的线程。 3. 另外我想知道userinit的父进程是?为什么不是system进程,这进程退出得太快很难查。 无论如何在这里总算学到了不少。 |
|
[原创]白话windows之 会话、工作站、桌面、窗口之间的关系
你说system是系统内核本身,我就越来越糊涂了。 虽说是0号进程(空闲进程),实际上存在Kprocess,不像是虚拟的。 不同点:相对system权限来说,这个R3被拒绝访问,线程更多,无分页内存。 相同点:有ntkrnlpa(windbg看到的是另一个)的线程,看起来更像是寄生的。 |
|
[原创]白话windows之 会话、工作站、桌面、窗口之间的关系
文中似乎没有提到system。 { 照经验来看,system的作用其一应该是加载驱动。 而且用任务管理器结束,虽结束不掉,但音频会失效。 } |
|
[讨论]看雪学院,既然是学院,那么。。。。。。。
那需要中考和高考的吗 |
|
|
|
教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
谢谢分享,这个函数一直都不会使用 另外问下有否函数是设置ObjectAccess的 我在EAT发现三个可能有关的,msdn没描述 ObSetHandleAttributes ObSetSecurityDescriptorInfo ObSetSecurityObjectByPointer 直接对EPROCESS操作,似乎是Read_Only的 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值