|
[求助] 如何遍历 内核object钩子
用ObjectType遍历的 |
|
[求助] 如何遍历 内核object钩子
放学打我不 https://github.com/ZhuHuiBeiShaDiao/ObRegisterCallBacksByPass老哥,我已经遍历出CallBack了 |
|
[求助] 如何遍历 内核object钩子
放学打我不 https://github.com/ZhuHuiBeiShaDiao/ObRegisterCallBacksByPass除了RegisterCallBacks还有其他方法吗?我的驱动没有DriverSection所以用不了RegisterCallBacks |
|
|
|
|
|
[原创]发个xp~win10_x86/x64全兼容的ShadowSSDT获取函数
__readmsr(0xC0000082)就搞定的事情,你写这么多,真是好心情 ULONG64 GetKeServiceDescriptorTableShadow64() { PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082); PUCHAR EndSearchAddress = StartSearchAddress + 0x500; PUCHAR i = NULL; UCHAR b1 = 0, b2 = 0, b3 = 0; ULONG templong = 0; ULONG64 addr = 0; for (i = StartSearchAddress; i<EndSearchAddress; i++) { if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2)) { b1 = *i; b2 = *(i + 1); b3 = *(i + 2); if (b1 == 0x4c && b2 == 0x8d && b3 == 0x1d) //4c8d1d { memcpy(&templong, i + 3, 4); addr = (ULONG64)templong + (ULONG64)i + 7; return addr; } } } return addr; } |
|
|
|
|
|
|
|
|
|
[求助] win7 64动态过PG 卸载重启
时光倒流大法 了解下: //RtlCaptureContext-->保存ecx等物-->OrgCap-->ProcPatchGuard-->其他 // -->ECX==109 ,来自BugCheck-->修复STACK,重新插入空DPC // -->如果IRQL是PASSIVE,则CallPointer去 // -->不是PASSIVE,则恢复环境-->到KiRetireDpcList重新执行DPC序列 //KiRetireDpcList -->保存环境-->原始-->还原环境
最后于 2018-10-26 13:33
被老坛酸菜TM编辑
,原因:
|
|
|
|
|
|
|
|
win_7 64位HOOK NTDeviceIoControlFile函数 遇到点问题
目测你自己进入了死循环!NtDeviceIoControlFile->KeBugCheckEx->Fake_NtDeviceIoControlFile->NtDeviceIoControlFile 难道没发现你的代码一直在这样循环??? |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值