|
[原创]高版本64位Win10(RS2或更高)下枚举消息钩子的一种思路
wx_空格ㄨ_797 HOOK结构体, 获取到的HOOK结构中数据基本都是对的,但是HookObject->ihmod这个值要么-1要么为1, 这个让我很费解, 我都系统版本是19041, 楼主,出现这种结果,大概原 ...-1 1都是正常的值吧,取值非负就用RtlQueryAtomInAtomTable拿模块名或者PROCESSINFO::ahmodLibLoaded拿模块基址,首发版的win11这个方法还能用,19041应该也不在话下 |
|
[原创]高版本64位Win10(RS2或更高)下枚举消息钩子的一种思路
wx_空格ㄨ_797 HANDLE ObjectHandle = (HANDLE)(i | (gSharedInfo->aheList[i].wUniq因为句柄就是用这个规则生成的,HIWORD==wUniq, LOWORD==Index |
|
[分享]一个方便的任意函数调用库
声明变参函数能解决的事却拐弯抹角伪造返回地址,是何居心 |
|
[原创]Win10 DiSPATCH_LEVEL下读取物理内存
低调putchar hhkqqs 代码有漏洞,在配置高容量内存条的机子上,MmAllocateContinguousMemory申请的页可能处于2M大分页或1G大分页中,此时的PTE ...没错,512G分页对配置要求太高了估计一般人接触不到 |
|
|
|
|
|
没有意义的帖子删了
https://support.microsoft.com/zh-cn/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in 奇怪的是我直接在内核搜相关注册表字符是搜不到的,怀疑相关字符做了编码 |
|
[求助]关于结构体重定义
换个麻烦点的方法,define一下所有成员的偏移值,用的上的成员就那几个 |
|
[已解决]汇编写法中如何保存 xmm寄存器
mb_pmtcimdp OK 终于可以了,非常感谢。 有没有什么好的汇编语法手册,VS要求语法很严谨。Kip Irvine的Assembly Language For x86 Processors,覆盖了x86和x86-64,扩展指令书中没有介绍但是看Intel手册也够用了 |
|
[已解决]汇编写法中如何保存 xmm寄存器
看你这语法明显是masm,官方文档里初始化数据没显示支持16字节的数,可以用dq 2 dup(0)代替 |
|
[已解决]汇编写法中如何保存 xmm寄存器
2楼无脑水贴罢了,你用的指令要求内存16字节对齐,如果你把xmmxxx对齐了,movaps movdqa movapd都能实现你的要求,没对齐就从movups movdqu movupd任选一个 |
|
[原创] 剖析 InfinityHook 原理 掀起一场更激烈的攻与防恶战
低调putchar 我下载了相同内核版本不同内核补丁的WIN7 x64 SP1的ntoskrnl.exe,作了比较 发现其中1个ntoskrnl.exe(6.1.7601.24384)的EtwpDebuggerData在 ...节区搜索是加快了速度,但不同系统考虑兼容性综合下来真不比整个映像搜快多少,毕竟目前系统我还没发现有第二处特征码跟EtwpDebuggerData重合的 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值