|
[求助]导入Kernel32.dll函数的THUNK_DATA数组中保存着一些ntdll.dll的函数地址
a.dll函数将函数funca转发到b.dll的函数funcb,在获取了funcb的函数名的前提下可以去a.dll中找对应字符串,查看引用可以发现其与某个导出函数有关联,由此获得funca的函数名 |
|
[求助]upx3.94加壳后,运行程序后dump,确认生成的文件中有代码,x64dbg时oep位置为0000
找到了原因,在调整section_header表时没有调整sizeofRawData,upx0节的sizeofRawData是0,从这表现上来看,似乎是section中超出sizeofRawData的内存会被清0. |
|
[讨论]你是否还相信爱情?
所见一切皆为个例。 思考爱情是否可信,可信如何不可信又如何。上面有人说活在当下,我觉得非常正确。我认为任何人在任何情况下的选择都是选择基于让自己更开心,或者不那么不开心。 林丹也只是选择当时让他觉得更开心的选项。旁观者看来的对婚姻的所谓忠诚,对当事人来说可能根本就不算事。 |
|
关于创建线程时调用的函数
找到了断NtCreateThreadEx |
|
关于创建线程时调用的函数
我在winbdg的events fliters中设置在有线程新创建时中断,是可以触发的,停在RtlUserThreadStart中,但是我是想找到线程触发的位置,bp KERNELBASE!CreateThread,或者bp NtCreateThread ,都没有反应 |
|
关于创建线程时调用的函数
一个基于bitshares的项目,代码封装太多,不知道在哪创建的线程,看起来比较累,所以想在通过调试找创建线程的地方 |
|
windows内核开发求指教
改过之后确实可以了,能给我说说大概分析的过程么,谢谢了 |
|
win8.1+wdk8.1+win8.1虚拟机搭建驱动调试环境求指导
我编译时是选的debug, win8.1 debug x64,我目标机是64位的系统 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值