|
[原创]不走寻常路,不修改代码段的DWM绘制
逆向爱好者 不会[em_18]绘制提交的present不是在d2d1.dll就是在dwmcore.dll,拖到ida里面直接找present函数,然后ce挨个试,直接清空函数头部看看dwm进程会不会蹦,饭都喂到嘴上了 |
|
|
|
[原创]不走寻常路,不修改代码段的DWM绘制
逆向爱好者 都没跑,原本就不绘制先看看dwm绘制提交走的哪个Present,源码里面的是DrawContext::Present,大部分win10都是走的这个函数 |
|
[原创]不走寻常路,不修改代码段的DWM绘制
检查一下dwm的绘制提交流程, 给DrawContext::Present改一个字节,看看dwm会不会蹦
最后于 2024-9-19 09:23
被Mashiro~编辑
,原因:
|
|
|
|
[讨论]隐藏内存可执行属性问题
改了pte的话,会跟vad管理的内存不一样了,微软的控制流保护会认为是一个非法内存,把控制流防护给强制jmp rax就行 |
|
[求助]被映射的驱动如何获取自身的基址和大小?
映射后调用入口函数的时候把ImageBase和ImageSize当参数不就行了吗 |
|
[求助]请问有没有那种编译好带签名的进程监控驱动
逆一下杀毒软件的驱动吧 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值