|
你们都在哪里上班,吃饱喝足聊一聊
现在已经吃不饱了,没得聊 |
|
[求助]想写一个Ring3的调试器
我觉得你方向完全错了 滴水的作业是希望你写一个调试器,明白调试的原理 但反汇编引擎的侧重点是编译原理,跟调试原理基本不搭边了 打个比方,你是学建房子的,你现在认为这砖头质量不行, 开始研究如何烧砖去了 你现在要做的是先用已有的引擎把调试器写好. |
|
|
|
[原创]碌碌无为自学的这些年
只能说时机不对, 夕阳产业,上不了车了. |
|
|
|
|
|
[求助]关于驱动获取模块加载地址(DllBase)
标 题:用文档化方法列举系统模块 作 者:nightxie 时 间:2008-10-12 15:07:08 链 接:http://bbs.pediy.com/showthread.php?t=74504 |
|
|
|
[求助][求助]驱动创建远程线程实现远程CALL
搜索一下,马上出来 NTSTATUS InjectCreateThread64(HANDLE ProcessId, PUNICODE_STRING pDllPath) { ULONG ReturnLength; NTSTATUS status = STATUS_UNSUCCESSFUL; PEPROCESS Process = NULL; HANDLE ProcessHandle = NULL; PVOID pNtDllBase64; PVOID pfnLdrLoadDll64; status = PsLookupProcessByProcessId((HANDLE)ProcessId, &Process); if (NT_SUCCESS(status)) { //Do not inject WOW64 process status = STATUS_UNSUCCESSFUL; if (PsGetProcessWow64Process(Process) == NULL) { status = ObOpenObjectByPointer(Process, OBJ_KERNEL_HANDLE, NULL, PROCESS_ALL_ACCESS, NULL, KernelMode, &ProcessHandle); if (NT_SUCCESS(status)) { pNtDllBase64 = PsNtDllBase64; pfnLdrLoadDll64 = fnLdrLoadDll64; if (!pfnLdrLoadDll64) { UNICODE_STRING NtdllName; KAPC_STATE kApc; KeStackAttachProcess(Process, &kApc); RtlInitUnicodeString(&NtdllName, L"ntdll.dll"); pNtDllBase64 = BBGetUserModule(Process, &NtdllName, FALSE); if (pNtDllBase64) { pfnLdrLoadDll64 = BBGetModuleExport(pNtDllBase64, "LdrLoadDll"); } KeUnstackDetachProcess(&kApc); } if (pfnLdrLoadDll64) { PINJECT_BUFFER pBuffer = GetThreadInjectCode64(ProcessHandle, pNtDllBase64, pfnLdrLoadDll64, pDllPath); if (pBuffer) { HANDLE hThread = NULL; OBJECT_ATTRIBUTES ob = { 0 }; InitializeObjectAttributes(&ob, NULL, OBJ_KERNEL_HANDLE, NULL, NULL); status = ZwCreateThreadEx( &hThread, THREAD_ALL_ACCESS, &ob, ProcessHandle, pBuffer, NULL, THREAD_CREATE_FLAGS_SKIP_THREAD_ATTACH | THREAD_CREATE_FLAGS_HIDE_FROM_DEBUGGER, 0, 0x1000, 0x100000, NULL); if (hThread) ZwClose(hThread); } } ZwClose(ProcessHandle); } } ObDereferenceObject(Process); } return status; } |
|
[讨论] 封城、封村、小区限制出入,你是怎么解决吃饭问题的?
打坐 过午不食 |
|
|
|
[求助]内核调用ExAllocatePoolWithTag返回0是怎么回事
hzqst 开启之后内核的所有可执行内存必须经过数字签名验证,无法动态分配可执行内存。需要分配不可执行内存请用NonPagedPoolNxKMCI学习了 , |
|
[讨论]全局IP拦截转向的原理
不就是代理吗 |
|
[建议]远离赌博 一场豪赌,半年积蓄就没有了
我攒了 5000 多币 , 从不赌博 |
|
|
|
[分享]OllyDbg/CheatEngine特征码转换C/C++字节数组自动加0x前缀和逗号工具
插件可以直接实现, 要学会用插件 |
|
[讨论] 怎么看待「某网军买完0day网络武器后,居然拷贝到有杀软的计算机中......」的神操作?
0day迟早都要经过杀软检测 只能说明目标电脑或者是目标IP已经在杀软的监控之中 要不然每天上传那么多可疑文件,哪分析得过来 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值