|
|
|
[原创]码图并茂红黑树
LZ很强,现在很少有人去钻研数据结构了,佩服 |
|
[求助]请问大神们ZwOpenDirectoryObject 函数打开的目录对象是不是根目录对象呢,看MSDN上说的是 opens an existing directory object.
NTSTATUS Status; OBJECT_ATTRIBUTES oa; UNICODE_STRING uniDirectory; HANDLE hDirectory; PVOID DirectoryObject = NULL; WCHAR wzDirectory[] = {L'\\', L'\0'}; RtlInitUnicodeString(&uniDirectory, wzDirectory); InitializeObjectAttributes(&oa, &uniDirectory, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL); Status = ZwOpenDirectoryObject(&hDirectory, 0, &oa); if (NT_SUCCESS(Status) ) { Status = ObReferenceObjectByHandle(hDirectory, 0x10000000, 0, 0, &DirectoryObject, 0); if ( NT_SUCCESS(Status) ) { DirectoryObjectType = KeGetObjectType(DirectoryObject); ObfDereferenceObject(DirectoryObject); } Status = ZwClose(hDirectory); }
最后于 2018-3-23 11:18
被FaEry编辑
,原因:
|
|
|
|
[分享]自写自用的X64Ark工具,支持win7_7601-win10_18363
三年前玩的东西了,现在还有市场吗。 |
|
[求助]MiniFilter 如何监控一个文件从C盘拷贝到E盘?
hzqst IRP_SET_FILE_INFORMATION的PreCallback里文件还没移动,用常规方法取到的就是当前路径,用GetTunnel什么的取的才是目标位置的路径IRP_SET_FILE_INFORMATION里面的哪个子类型啊,微软说这个API只能在 IRP_SET_FILE_INFORMATION/IRP_MJ_CREATE Post里才有用啊~~~~~, 还有不是移动文件,是复制复制复制啊啊啊啊啊啊
最后于 2018-3-7 17:06
被FaEry编辑
,原因:
|
|
|
|
|
|
|
|
[原创]x64内核中的HOOK技术. 拦截进程,拦截线程,拦截模块(思路)
我只看到了拦截进程创建,后面两个被吃了? |
|
[原创]利用内核知识,自己实现ReadProcessMemory
hzqst 1、你kill的是GUI进程,主防进程并么有kill掉 2、如果你kill的是主防进程,那么你一定加载自己的驱动了。你加载驱动的时候大数字拦截并询问了吗,你大概是点了允许加载驱动吧。Bypass Zhudongfangyu x64 可没那么好搞~ |
|
|
|
|
|
[原创]Windows内存放血篇,突破物理内存的CopyOnWrite
你既然都能MmGetPhysicalAddress了,那还有什么必要MmMapIoSpace呢,不过确实这种方法可以不用找各级表,233333,注: 开头说是不借助API |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值