Ta的论坛

cat喵

拉黑关注私信

头图
皮肤套装

使用

主题(5) | 回帖(21) | 精华(1)

cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-7-11 14:41 0 [原创]DPC机制分析记录又出bug了 dpc和cpu相关apc和线程相关===讨论dpc和进程、线程的关联不大，甚至没什么关联谢谢老哥指点，我觉得你说的这个确实短小精悍是核心
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-7-11 14:40 0 [原创]DPC机制分析记录兔oO 貌似不对 ~当前线程处于挂起状态 ~并不存在线程的调度列队所有不会被切换按道理线程只有被切换的时候才会执行DPC enen，不过我认为DPC执行的时机应该是和线程切换没关系的，是在IRQL请求级别降低到DISPATCH_LEVEL以下的时候执行的，APC才和线程切换有关系，这一点应该是没错的。然后我上面确实有写唤醒线程，但是确实是表述有误，估计我当时也理解有错吧。具体可参看KiQuantumEnd函数中有相关的线程切换的逻辑，当我再次去寻找的时候发现这个函数在KiDispatchInterrupt被调用，在KiDispatchInterrupt函数中会用KiRetireDpcList函数首先处理当前核心的DPC队列，最后可能会发生线程切换。不过如@又出bug了老哥说的一样，感觉上讨论DPC和线程的关系意义似乎不大，我乱写的锅。所以总结上来看在执行完成DPC队列后会尝试切换线程，具体是否切换线程需要具体判断，而我写的线程唤醒是有问题的，我上面说的关于KiDispatchInterrupt只是一部分的逻辑，是有分支的，在分支中也有线程切换，具体请自行翻阅一下。
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-7-4 11:03 0 [原创]DPC机制分析记录 wx_尚煜应该是用户APC吧 DPC啊，不是用户APC吧
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-7-4 11:03 0 [原创]DPC机制分析记录兔oO 被挂起的线程收到DPC事件后会被唤醒？我也不确定是不是立刻唤醒，但是根据源码确实会经过一系列判断后唤醒线程，一般来说DPC在ISR后面降低IRQL级别的时候会去扫描时候有DPC队列，如果有就会执行。触发的具体语句就是KiRequestSoftwareInterrupt这一句。不对的地方请指正。
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-11 15:23 0 [原创]vmp3.0.9全保护拆分解析谢谢大佬的分析
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-11 15:13 0 [原创]vmp3.0.9全保护拆分解析 MistHill Call R32 在vCall里。 VMP3的vCall与VMP2有很大不同，VMP2的vCall只能调用虚拟子程序/函数，VMP3的vCall可以直接调用API，比较方便。感觉VMP3的vCall ... 谢谢，说的好详细。想问下vCALL在3.x版本下不止一个，但是一直没明白为啥这个检测基本上检测函数的调用在一个地方就能过，我是把所有的保护都有勾选的？
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-5 12:40 0 [原创]vmp3.0.9全保护拆分解析 JAS白乌鸦我也在研究这个,sharpod的Atti_Atti Attach和scyllahide的kill anti attach都可以绕过一些TMD的反附加.不过我挂钩这几个函数失败了,打算直接用修复的方法 ... 期待你完成后的分享，这方面的思路提供的内容多一些，但是具体实现还没去试过，准备考试啦
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-4 22:14 0 [原创]新手分享_再谈FS寄存器谢谢，分析一下kpcr结构体吧
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-4 20:46 0 [原创]vmp3.0.9全保护拆分解析 cat喵哈哈，是的，这就是一篇总结贴，而且属于适合新手的，vm还原部分我也还在分析中，不同版本的特征感觉也不太一致，所以没办法快速还原。如果您有相关资料，也请分享或指教一个方向谢谢大神请教个问题，你写的SharpOD的Atti_Atti Attach的原理是使用的挂钩DbgUiIssueRemoteBreakin,DbgUiConnectToDbg,DbgUiDebugActiveProcess这几个函数来实现的吗？
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-4 20:37 0 [原创]vmp3.0.9全保护拆分解析 StriveXjun 离脱壳还很远哈哈，是的，这就是一篇总结贴，而且属于适合新手的，vm还原部分我也还在分析中，不同版本的特征感觉也不太一致，所以没办法快速还原。如果您有相关资料，也请分享或指教一个方向谢谢
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-1 18:45 0 [原创]vmp3.0.9全保护拆分解析 cat喵是的，有软件断点的检测，使用硬件断点就可以的上面帖子的软件断点检测有说到
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-1 18:45 0 [原创]vmp3.0.9全保护拆分解析 ZwTrojan 我使用SharpOD插件可以过掉反调试,但是在IsDebuggerPresent上下断就会被检测到,意思是VM还会检测API入口的1个字节判断是否为0xCC来进行反调试吗. 是的，有软件断点的检测，使用硬件断点就可以的
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-5-1 18:44 0 [原创]vmp3.0.9全保护拆分解析谢谢，正在新手村任务中
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-4-24 12:33 0 [原创]基于Wrk和ReactOS源码分析APC机制的记录 KevinsBobo 刚才联系了坛主：WORD 转过来的，估计有很多非法标签，安全策略过滤掉了。这个问题正在改进中[em_13] 噢噢，谢谢，我还是用markdown把，我上传一下附件，没注意截图的问题，长图截图的bug
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-4-24 08:08 0 [原创]基于Wrk和ReactOS源码分析APC机制的记录那个我也是新手，只知道APC注入，但是实用性不高，要求太多。然后就是windows的很多异步IO都是使用的APC机制来完成。3楼的翻译大神说的挺好，受教了
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 2018-4-23 21:51 0 [原创]基于Wrk和ReactOS源码分析APC机制的记录[--删除--] 额，没注意，我看下，谢谢

精华数

RANk

474

雪币

0

活跃值

关注数

粉丝数

0

课程经验

0

学习收益

0

学习时长

基本信息

活跃值

活跃值：

活跃值

在线值：

浏览人数：274

最近活跃：0

注册时间：2017-12-09

勋章

能力值