|
[求助]在 PsSetCreateProcessNotifyRoutine中 拦截到进程,怎样把进程结束掉,而用户层不会任何提示
PsSetCreateProcessNotifyRoutineEx void PcreateProcessNotifyRoutineEx( PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo ) CreateInfo->CreationStatus = xxxxxxx |
|
[原创]VMProtect完美脱壳过程——:)
赞同楼上说法,这把VMP当UPX脱了。 |
|
[求助]进程间通讯问题
管道 |
|
[原创]某游戏加速的分析
hzqst 64位 检测E9?写这个检测代码的人是不是对64位的hook有什么误会说的好。 64位一般都是 FF 15 00 00 00 00 ,或者 mov rax,xxxxxxxxxx jmp rax |
|
[原创]加载内存当中的DLL(文件),支持64位和32位。直接加载内存或资源当中的dll,不落地
还是看看别人写的吧! 另外blackbone里面也有,但依赖太大,想抠出来单独用贼麻烦。 原版 支持/x86 /64 https://github.com/fancycode/MemoryModule 增加版 支持/x86 /64 + 异常 https://github.com/strivexjun/MemoryModulePP
最后于 2018-7-28 18:22
被StriveXjun编辑
,原因:
|
|
|
|
[求助]ZwWow64ReadVirtualMemory64 无法读取内存
object hook 你在他下层的话你就可以后处理这个object,你恢复回去不就得了。 |
|
[原创][分享][推荐]Virbox加壳挑战赛正式开启,护驾全球软件安全
挑战成功后:就可拿 100 元面值的天猫卡/京东 e 卡(随机) |
|
[原创] 突如其来的想法 x86+x64 混合代码
hzqst 64位调试器可以调试32位进程,但是反汇编只能识别32位代码,除非调试器允许手动指定强制识别代码为64位代码64位调试器,单步时候判断cs是否是23或者33,然后来解析。 |
|
[原创]vmp3.0.9全保护拆分解析
cat喵 大神请教个问题,你写的SharpOD的Atti_Atti Attach的原理是使用的挂钩DbgUiIssueRemoteBreakin,DbgUiConnectToDbg,DbgUiDebugActi ...我也是使用的SOD的方法, attach进程的时候,在目标进程会创建一个线程,这个线程的起始地址就是DbgUiIssueRemoteBreakin,但你先挂钩进程的 LdrInitializeThunk的话在直接 int 3 接管调试断点,就不会走到那几个API那去了。 |
|
[原创]vmp3.0.9全保护拆分解析
离脱壳还很远 |
|
[招聘]初级病毒分析师
这地方房租太贵了,各位坛友慎重考虑。。。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值