Ta的论坛

头图
皮肤套装

使用

安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-17 10:00 0 [分享]过冬好去处，阿里软件招聘 Windows桌面端架构师阿里集团手握160亿现金，各业务快速发展，不但安然度过严冬，还可练就六脉神剑，期待您的加盟。我只要一亿，给不？
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-14 12:53 0 [原创]EMM's MS08-067 exploit 原理分析 BOOL CreateProcess( LPCTSTR lpApplicationName, // name of executable module LPTSTR lpCommandLine, // command line string LPSECURITY_ATTRIBUTES lpProcessAttributes, // SD LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD BOOL bInheritHandles, // handle inheritance option DWORD dwCreationFlags, // creation flags LPVOID lpEnvironment, // new environment block LPCTSTR lpCurrentDirectory, // current directory name LPSTARTUPINFO lpStartupInfo, // startup information, 如果设定为NULL，继承父进程的STARTUPINFO LPPROCESS_INFORMATION lpProcessInformation // process information ); typedef struct _STARTUPINFO { DWORD cb; LPTSTR lpReserved; LPTSTR lpDesktop; LPTSTR lpTitle; DWORD dwX; DWORD dwY; DWORD dwXSize; DWORD dwYSize; DWORD dwXCountChars; DWORD dwYCountChars; DWORD dwFillAttribute; DWORD dwFlags; WORD wShowWindow; WORD cbReserved2; LPBYTE lpReserved2; HANDLE hStdInput; HANDLE hStdOutput; HANDLE hStdError; } STARTUPINFO, *LPSTARTUPINFO; 忒麻烦了点~~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-13 18:54 0 [原创]EMM's MS08-067 exploit 原理分析我之前也是遇到calc不弹出gui的情况，不清楚你的shellcode中是不是用的WinExec函数，如果是，那么： UINT WinExec( LPCSTR lpCmdLine, // command line UINT uCmdShow // window style，尝试设置为SW_SHOW或者其他合适值 );
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-13 11:14 0 [招聘]北京外企招聘楼上的帮楼主掩护一下，好吧？ PS：楼主这样写自己的msn，确实勾起了大家破解然后公布之的欲望，适得其反啊。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:36 0 [原创]娱乐,扩展一下ProcessNotify~~ 好帖子，类似于地址总线扩展的概念，支持~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:08 0 [讨论]总是静不下心来作程序最近我也是安静不下来~~~好可怜
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:05 0 [讨论]学逆向前途要看等级的，努力中......
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:04 0 [原创]MTK 手机BIN文件加密的一点心得可怜的联发科技~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:00 0 [建议]请问坛主能否开个汇编语言的板块涵盖x86，ARM，51，Microchip PIC，TI DSP，......就比较拽了
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-11 19:58 0 [求助]你们一般聊天能聊多久？谁扯淡比较厉害的，也发我点~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 17:27 0 [求助]驱动里ZwQuerySystemInformation怎么调用啊? __declspec(dllimport) ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation(........);
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 17:22 0 [解决]晕啊，pspCidTable中的Object[解决代码见四楼] Orz, 呵呵，大侠还是真身的好啊~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 13:46 0 [解决]晕啊，pspCidTable中的Object[解决代码见四楼] ULONG GetPspCidTable() /++ 获取系统中未导出的pspCidTable --/ { ULONG pAddr; ULONG Len; PUCHAR opcode; ULONG ulFunc = (ULONG)PsLookupProcessByProcessId; __try { // //如果是调试模式，需要计算一下真实位置 //用来校正jmp thunk // if((PUSHORT)PsLookupProcessByProcessId==0x25ff) { ulFunc = (ULONG)((ULONG)PsLookupProcessByProcessId+2); } //DbgPrint("[My1st] ulFunc: 0X&08X\n", ulFunc); for(pAddr=ulFunc; pAddr<ulFunc+0x60; pAddr+=Len) { Len = SizeOfCode((PUCHAR)pAddr, &opcode); if(!Len) { break; } if( (PUSHORT)pAddr==0x35ff && (PUCHAR)(pAddr+6)==0xe8 ) { return (ULONG)(opcode+2); } } return 0; } __except(1) { return 0; } } /++ 通过进程的id，获取进程的EPROCESS结构 --/ PEPROCESS GetProcessById(ULONG id) { PHANDLE_TABLE pspCidTable; ULONG Eprocess; ULONG pEprocess; // //如果查找pspCidTable失败，直接返回NULL // pspCidTable = (PHANDLE_TABLE)GetPspCidTable(); if(!pspCidTable) { return NULL; } // //越界检查 // id &= 0xfffffffc; //忽略id的后两位 if(id>=pspCidTable->NextHandleNeedingPool) { return NULL; } // //由于pspCidTable只是一个简单的0级表，所以检索很容易 // pEprocess = (ULONG)(pspCidTable->TableCode + id2); if(!MmIsAddressValid(pEprocess)) //检查一下地址的有效性，参考KsBinSword的源代码，原来在内核中检查地址的函数是这个 { //同时感谢2楼 return NULL; } Eprocess = (pEprocess) & 0xfffffffc; if(!MmIsAddressValid((PVOID)Eprocess)) { return NULL; } // //检查获取的对象是不是EPROCESS // if((UCHAR)Eprocess==0x03 && (ULONG)(Eprocess+0x1a4)!=0) //&& ObReferenceObjectSafe((PVOID)Eprocess)) { return (PEPROCESS)Eprocess; } return NULL; } /++ 通过线程的id，获取进程的ETHREAD结构 --/ PETHREAD GetThreadById(ULONG id) { PHANDLE_TABLE pspCidTable; ULONG Ethread; ULONG pEthread; // //如果查找pspCidTable失败，直接返回NULL // pspCidTable = (PHANDLE_TABLE)GetPspCidTable(); if(!pspCidTable) { return NULL; } // //越界检查 // id &= 0xfffffffc; //忽略id的后两位 if(id>=pspCidTable->NextHandleNeedingPool) { return NULL; } // //由于pspCidTable只是一个简单的0级表，所以检索很容易 // pEthread = (ULONG)((pspCidTable->TableCode + id2) & 0xfffffffc); if(!MmIsAddressValid(pEthread)) { return NULL; } Ethread = (pEthread) & 0xfffffffc; if(!MmIsAddressValid((PVOID)Ethread)) { return NULL; } // //检查获取的对象是不是ETHREAD // if((UCHAR)Ethread==0x06 && (ULONG)(Ethread+0x244)!=0) //&& ObReferenceObjectSafe((PVOID)Ethread)) { return (PETHREAD)Ethread; } return NULL; } /++ 通过id，获取对象的指针 --/ ULONG GetObjectById(ULONG id) { PHANDLE_TABLE pspCidTable; ULONG Eobject; ULONG pEobject; // //如果查找pspCidTable失败，直接返回NULL // pspCidTable = (PHANDLE_TABLE)GetPspCidTable(); if(!pspCidTable) { return 0; } // //越界检查 // id &= 0xfffffffc; //忽略id的后两位 if(id>=pspCidTable->NextHandleNeedingPool) { return 0; } // //由于pspCidTable只是一个简单的0级表，所以检索很容易 // pEobject = (ULONG)((pspCidTable->TableCode + id2) & 0xfffffffc); if(!MmIsAddressValid(pEobject)) { return 0; } Eobject = (*pEobject) & 0xfffffffc; if(!MmIsAddressValid((PVOID)Eobject)) { return 0; } //if(ObReferenceObjectSafe((PVOID)Eobject)) //{ return Eobject; //} return 0; } void DisplayProcessNameById(ULONG id) { ULONG ulProcessName; ULONG ulProcess; ulProcess = (ULONG)GetProcessById(id); if(!ulProcess) { return; } ulProcessName = ulProcess + 0x174; //Windows XP dprintf("[My1st] %s\n", (PUCHAR)ulProcessName); } void EnumerateProcesses() { ULONG ulIte; for(ulIte=1;ulIte<0x800;ulIte++) { DisplayProcessNameById(ulIte<<2); } } 效果如下： [My1st] DriverEntry [My1st] System [My1st] VMwareUser.exe [My1st] ctfmon.exe [My1st] wscntfy.exe [My1st] smss.exe [My1st] csrss.exe [My1st] winlogon.exe [My1st] services.exe [My1st] lsass.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] cmd.exe [My1st] conime.exe [My1st] explorer.exe [My1st] spoolsv.exe [My1st] net.exe [My1st] net1.exe [My1st] VMwareService.e [My1st] alg.exe [My1st] VMwareTray.exe
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 13:34 0 还是去买本加密与解密第三版吧客观上我认为，加密解密三的分量很足，价格也不贵。只是细节上有点缺憾，总之性价比在市面上是相当优的！！！支持论坛！
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 00:12 0 [半原创]贴点内核态中创建用户态进程的代码支持一个！！！
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-9 23:48 0 [推荐]《代码之美》获奖人名单大牛您可是能选两本的啊。。。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-9 18:28 0 [讨论]从0基础到现在，你经历了多长时间大二开始真正接触电脑，大三上学期开始真正学习破解和程序，到现在毕业后，总共两年半把。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-7 18:24 0 [原创]高手进阶windows内核定时器之一 NTSTATUS IoInitializeTimer( IN PDEVICE_OBJECT pDevObj, IN PIO_TIMER_ROUTINE TimerRoutine, IN PVOID Context ) { if(!(pDevObj->Timer)) { PIO_TIMER pTimer = (PIO_TIMER)ExAllocatePoolWithTag(NonPagedPool, sizeof(IO_TIMER), 0X69546F49); if(!pTimer) { return STATUS_INSUFFICIENT_RESOURCES; } memset(pTimer, sizeof(IO_TIMER), 0); pTimer->Type = 9; pTimer->DeviceObject = pDevObj; pDevObj->Timer = pTimer; } pTimer->TimerRoutine = TimerRoutine; pTimer->Context = Context; ExfInterlockedInsertTailList(IopTimerQueueHead, pTimer->TimerList, IopTimerLock); return STATUS_SUCCESS; } PLIST_ENTRY __fastcall ExfInterlockedInsertTailList(PLIST_ENTRY Header, PLIST_ENTRY newItem, SOME_LOCK lock) { //PLIST_ENTRY newHeader; __asm { pushfd cli } newItem->Flink = Header; newItem->Blink = Header->Blink; Header->Blink->Flink = newItem; Header->Blink = newItem; __asm { popfd } if(Header->Blink = Header) { return NULL; } return Header; } VOID IoStartTimer( IN PDEVICE_OBJECT DeviceObject) { if(pDevObj->DeviceObjectExtension->ExtensionFlags & 0x0f) { __asm { cli } if(!(pDevObj->Timer->TimerFlag)) { pDevObj->Timer->TimerFlag = 1; IopTimerCount++; } __asm { sti } } } VOID IoStartTimer( IN PDEVICE_OBJECT DeviceObject) { if(pDevObj->DeviceObjectExtension->ExtensionFlags & 0x0f) { __asm { cli } if(!(pDevObj->Timer->TimerFlag)) { pDevObj->Timer->TimerFlag = 1; IopTimerCount++; } __asm { sti } } }
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-7 17:36 0 [原创]高手进阶windows内核定时器之二在此留下足迹。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-7 15:31 0 [求助][求助]"应用程序发生异常：未知的软件异常"调试单步走，直到出错的代码点 PS：这个问题太假了，貌似lz不会调试。

精华数

RANk

雪币

活跃值

关注数

粉丝数

课程经验

学习收益

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值：

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值

安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-17 10:00 0 [分享]过冬好去处，阿里软件招聘 Windows桌面端架构师阿里集团手握160亿现金，各业务快速发展，不但安然度过严冬，还可练就六脉神剑，期待您的加盟。我只要一亿，给不？
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-14 12:53 0 [原创]EMM's MS08-067 exploit 原理分析 BOOL CreateProcess( LPCTSTR lpApplicationName, // name of executable module LPTSTR lpCommandLine, // command line string LPSECURITY_ATTRIBUTES lpProcessAttributes, // SD LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD BOOL bInheritHandles, // handle inheritance option DWORD dwCreationFlags, // creation flags LPVOID lpEnvironment, // new environment block LPCTSTR lpCurrentDirectory, // current directory name LPSTARTUPINFO lpStartupInfo, // startup information, 如果设定为NULL，继承父进程的STARTUPINFO LPPROCESS_INFORMATION lpProcessInformation // process information ); typedef struct _STARTUPINFO { DWORD cb; LPTSTR lpReserved; LPTSTR lpDesktop; LPTSTR lpTitle; DWORD dwX; DWORD dwY; DWORD dwXSize; DWORD dwYSize; DWORD dwXCountChars; DWORD dwYCountChars; DWORD dwFillAttribute; DWORD dwFlags; WORD wShowWindow; WORD cbReserved2; LPBYTE lpReserved2; HANDLE hStdInput; HANDLE hStdOutput; HANDLE hStdError; } STARTUPINFO, *LPSTARTUPINFO; 忒麻烦了点~~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-13 18:54 0 [原创]EMM's MS08-067 exploit 原理分析我之前也是遇到calc不弹出gui的情况，不清楚你的shellcode中是不是用的WinExec函数，如果是，那么： UINT WinExec( LPCSTR lpCmdLine, // command line UINT uCmdShow // window style，尝试设置为SW_SHOW或者其他合适值 );
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-13 11:14 0 [招聘]北京外企招聘楼上的帮楼主掩护一下，好吧？ PS：楼主这样写自己的msn，确实勾起了大家破解然后公布之的欲望，适得其反啊。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:36 0 [原创]娱乐,扩展一下ProcessNotify~~ 好帖子，类似于地址总线扩展的概念，支持~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:08 0 [讨论]总是静不下心来作程序最近我也是安静不下来~~~好可怜
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:05 0 [讨论]学逆向前途要看等级的，努力中......
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:04 0 [原创]MTK 手机BIN文件加密的一点心得可怜的联发科技~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-12 19:00 0 [建议]请问坛主能否开个汇编语言的板块涵盖x86，ARM，51，Microchip PIC，TI DSP，......就比较拽了
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-11 19:58 0 [求助]你们一般聊天能聊多久？谁扯淡比较厉害的，也发我点~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 17:27 0 [求助]驱动里ZwQuerySystemInformation怎么调用啊? __declspec(dllimport) ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation(........);
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 17:22 0 [解决]晕啊，pspCidTable中的Object[解决代码见四楼] Orz, 呵呵，大侠还是真身的好啊~~~
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 13:46 0 [解决]晕啊，pspCidTable中的Object[解决代码见四楼] ULONG GetPspCidTable() /++ 获取系统中未导出的pspCidTable --/ { ULONG pAddr; ULONG Len; PUCHAR opcode; ULONG ulFunc = (ULONG)PsLookupProcessByProcessId; __try { // //如果是调试模式，需要计算一下真实位置 //用来校正jmp thunk // if((PUSHORT)PsLookupProcessByProcessId==0x25ff) { ulFunc = (ULONG)((ULONG)PsLookupProcessByProcessId+2); } //DbgPrint("[My1st] ulFunc: 0X&08X\n", ulFunc); for(pAddr=ulFunc; pAddr<ulFunc+0x60; pAddr+=Len) { Len = SizeOfCode((PUCHAR)pAddr, &opcode); if(!Len) { break; } if( (PUSHORT)pAddr==0x35ff && (PUCHAR)(pAddr+6)==0xe8 ) { return (ULONG)(opcode+2); } } return 0; } __except(1) { return 0; } } /++ 通过进程的id，获取进程的EPROCESS结构 --/ PEPROCESS GetProcessById(ULONG id) { PHANDLE_TABLE pspCidTable; ULONG Eprocess; ULONG pEprocess; // //如果查找pspCidTable失败，直接返回NULL // pspCidTable = (PHANDLE_TABLE)GetPspCidTable(); if(!pspCidTable) { return NULL; } // //越界检查 // id &= 0xfffffffc; //忽略id的后两位 if(id>=pspCidTable->NextHandleNeedingPool) { return NULL; } // //由于pspCidTable只是一个简单的0级表，所以检索很容易 // pEprocess = (ULONG)(pspCidTable->TableCode + id2); if(!MmIsAddressValid(pEprocess)) //检查一下地址的有效性，参考KsBinSword的源代码，原来在内核中检查地址的函数是这个 { //同时感谢2楼 return NULL; } Eprocess = (pEprocess) & 0xfffffffc; if(!MmIsAddressValid((PVOID)Eprocess)) { return NULL; } // //检查获取的对象是不是EPROCESS // if((UCHAR)Eprocess==0x03 && (ULONG)(Eprocess+0x1a4)!=0) //&& ObReferenceObjectSafe((PVOID)Eprocess)) { return (PEPROCESS)Eprocess; } return NULL; } /++ 通过线程的id，获取进程的ETHREAD结构 --/ PETHREAD GetThreadById(ULONG id) { PHANDLE_TABLE pspCidTable; ULONG Ethread; ULONG pEthread; // //如果查找pspCidTable失败，直接返回NULL // pspCidTable = (PHANDLE_TABLE)GetPspCidTable(); if(!pspCidTable) { return NULL; } // //越界检查 // id &= 0xfffffffc; //忽略id的后两位 if(id>=pspCidTable->NextHandleNeedingPool) { return NULL; } // //由于pspCidTable只是一个简单的0级表，所以检索很容易 // pEthread = (ULONG)((pspCidTable->TableCode + id2) & 0xfffffffc); if(!MmIsAddressValid(pEthread)) { return NULL; } Ethread = (pEthread) & 0xfffffffc; if(!MmIsAddressValid((PVOID)Ethread)) { return NULL; } // //检查获取的对象是不是ETHREAD // if((UCHAR)Ethread==0x06 && (ULONG)(Ethread+0x244)!=0) //&& ObReferenceObjectSafe((PVOID)Ethread)) { return (PETHREAD)Ethread; } return NULL; } /++ 通过id，获取对象的指针 --/ ULONG GetObjectById(ULONG id) { PHANDLE_TABLE pspCidTable; ULONG Eobject; ULONG pEobject; // //如果查找pspCidTable失败，直接返回NULL // pspCidTable = (PHANDLE_TABLE)GetPspCidTable(); if(!pspCidTable) { return 0; } // //越界检查 // id &= 0xfffffffc; //忽略id的后两位 if(id>=pspCidTable->NextHandleNeedingPool) { return 0; } // //由于pspCidTable只是一个简单的0级表，所以检索很容易 // pEobject = (ULONG)((pspCidTable->TableCode + id2) & 0xfffffffc); if(!MmIsAddressValid(pEobject)) { return 0; } Eobject = (*pEobject) & 0xfffffffc; if(!MmIsAddressValid((PVOID)Eobject)) { return 0; } //if(ObReferenceObjectSafe((PVOID)Eobject)) //{ return Eobject; //} return 0; } void DisplayProcessNameById(ULONG id) { ULONG ulProcessName; ULONG ulProcess; ulProcess = (ULONG)GetProcessById(id); if(!ulProcess) { return; } ulProcessName = ulProcess + 0x174; //Windows XP dprintf("[My1st] %s\n", (PUCHAR)ulProcessName); } void EnumerateProcesses() { ULONG ulIte; for(ulIte=1;ulIte<0x800;ulIte++) { DisplayProcessNameById(ulIte<<2); } } 效果如下： [My1st] DriverEntry [My1st] System [My1st] VMwareUser.exe [My1st] ctfmon.exe [My1st] wscntfy.exe [My1st] smss.exe [My1st] csrss.exe [My1st] winlogon.exe [My1st] services.exe [My1st] lsass.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] svchost.exe [My1st] cmd.exe [My1st] conime.exe [My1st] explorer.exe [My1st] spoolsv.exe [My1st] net.exe [My1st] net1.exe [My1st] VMwareService.e [My1st] alg.exe [My1st] VMwareTray.exe
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 13:34 0 还是去买本加密与解密第三版吧客观上我认为，加密解密三的分量很足，价格也不贵。只是细节上有点缺憾，总之性价比在市面上是相当优的！！！支持论坛！
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-10 00:12 0 [半原创]贴点内核态中创建用户态进程的代码支持一个！！！
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-9 23:48 0 [推荐]《代码之美》获奖人名单大牛您可是能选两本的啊。。。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-9 18:28 0 [讨论]从0基础到现在，你经历了多长时间大二开始真正接触电脑，大三上学期开始真正学习破解和程序，到现在毕业后，总共两年半把。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-7 18:24 0 [原创]高手进阶windows内核定时器之一 NTSTATUS IoInitializeTimer( IN PDEVICE_OBJECT pDevObj, IN PIO_TIMER_ROUTINE TimerRoutine, IN PVOID Context ) { if(!(pDevObj->Timer)) { PIO_TIMER pTimer = (PIO_TIMER)ExAllocatePoolWithTag(NonPagedPool, sizeof(IO_TIMER), 0X69546F49); if(!pTimer) { return STATUS_INSUFFICIENT_RESOURCES; } memset(pTimer, sizeof(IO_TIMER), 0); pTimer->Type = 9; pTimer->DeviceObject = pDevObj; pDevObj->Timer = pTimer; } pTimer->TimerRoutine = TimerRoutine; pTimer->Context = Context; ExfInterlockedInsertTailList(IopTimerQueueHead, pTimer->TimerList, IopTimerLock); return STATUS_SUCCESS; } PLIST_ENTRY __fastcall ExfInterlockedInsertTailList(PLIST_ENTRY Header, PLIST_ENTRY newItem, SOME_LOCK lock) { //PLIST_ENTRY newHeader; __asm { pushfd cli } newItem->Flink = Header; newItem->Blink = Header->Blink; Header->Blink->Flink = newItem; Header->Blink = newItem; __asm { popfd } if(Header->Blink = Header) { return NULL; } return Header; } VOID IoStartTimer( IN PDEVICE_OBJECT DeviceObject) { if(pDevObj->DeviceObjectExtension->ExtensionFlags & 0x0f) { __asm { cli } if(!(pDevObj->Timer->TimerFlag)) { pDevObj->Timer->TimerFlag = 1; IopTimerCount++; } __asm { sti } } } VOID IoStartTimer( IN PDEVICE_OBJECT DeviceObject) { if(pDevObj->DeviceObjectExtension->ExtensionFlags & 0x0f) { __asm { cli } if(!(pDevObj->Timer->TimerFlag)) { pDevObj->Timer->TimerFlag = 1; IopTimerCount++; } __asm { sti } } }
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-7 17:36 0 [原创]高手进阶windows内核定时器之二在此留下足迹。
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 1 关注私信	安摧 2 2009-1-7 15:31 0 [求助][求助]"应用程序发生异常：未知的软件异常"调试单步走，直到出错的代码点 PS：这个问题太假了，貌似lz不会调试。

{{ user_info.username }}