|
[讨论]ntdll.dll中精确获取ssdt函数索引id
确实算不上人工智能,这里只要识别一下特征码然后匹配一下就足够了。 |
|
memcpy或memset, WriteProcessMemory总有一个字节没拷贝是什么原因?
0x012951ca地址有断点么?有的话去掉再试试看。 |
|
[求助]请问这是windows核心编程上的一个败笔,bug吗?
看起来是高优先级的线程一直都可以执行的话,低优先级的线程是得不到时间片的,但是windows考虑了这种情况,如果低优先级的线程出于就绪状态,但等待了很长时间(记得是4秒)都没得到执行机会,便会把它的优先级提升到15,它执行一个时间片之后就会再恢复老的优先级继续等待执行。 |
|
[讨论]大家写inline hook都怎么保证被hook处的原子操作?
Remarks The interlocked functions provide a simple mechanism for synchronizing access to a variable that is shared by multiple threads. This function is atomic with respect to calls to other interlocked functions. This function is implemented using a compiler intrinsic where possible. For more information, see the WinBase.h header file and _InterlockedExchange. This function generates a full memory barrier (or fence) to ensure that memory operations are completed in order. Itanium-based systems: For performance-critical applications, use InterlockedExchangeAcquire instead. Note This function is supported on Windows RT-based systems. |
|
[讨论]大家写inline hook都怎么保证被hook处的原子操作?
你为什么根本不看我说的话呢…… 我说了x86/64上有LOCK前缀,应该问题不大,但是其它CPU上没有,还专门贴出了一个链接,里面有解释了interlocked函数的实现。而且msdn专门点出了那一句话,所以我觉得其它CPU上是无法保证这点的。 |
|
[讨论]大家写inline hook都怎么保证被hook处的原子操作?
刚有时间,查了下资料,x86/64上支持LOCK#,看起来应该是可以保证线程安全的,但我不太确定,至于其它CPU上怎么实现更是不清楚,msdn提到“This function is atomic with respect to calls to other interlocked functions.”,如果别人不调用interlocked函数估计windows也是不能保证原子性的。 参考 http://blogs.msdn.com/b/oldnewthing/archive/2013/09/13/10448736.aspx |
|
[求助]如何判断线程是否挂起或运行
如果实在不想用nt query,应该只能猥琐的判断了 BOOL IsThreadSuspended(HANDLE hThread) { DWORD count = SuspendThread(hThread); if (count == -1) { return FALSE; } ResumeThread(hThread); return (count != 0); } |
|
[求助]NtOpenProcess恢复
看下是被谁hook的,我猜是QQProtect.sys。 |
|
[原创][2014-12-11更新]程序员记忆录!.
这份经历想必也是种财富,lz加油。 |
|
dt _SECTION_OBJECT符号错误问题求帮助
因为你的调试目标错了,根据“COMCTL32.dll”这个模块名可以看出你不是在进行内核调试,_EPROCESS在ntdll和ntoskrnl中都有,你这里看到的是ntdll的。但_SECTION_OBJECT和_SEGMENT_OBJECT都是在ntoskrnl.exe里的,你在ntdll里肯定找不到这个符号,换成双机调试或者本地内核调试就可以了。 |
|
[讨论]大家写inline hook都怎么保证被hook处的原子操作?
按我的理解,interlocked只能跟其它interlocked函数同步吧,如果其它线程跳到这里来执行,还是没法lock住。 |
|
[求助]win7下打开进程
加个debug权限试试,记得admin打开system的进程若是没有debug权限也是返回5。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值