|
[转帖][LEAKED] IDA Pro 7.5 + HexRays (x86/x64/ARM/ARM64)
sunsjw 使用了一下,没有发现什么问题。 只有我一个人有打不开pdb的bug吗,本地的符号加载不了,大佬有方案吗 已自行解决。看来是pdb格式太旧了,改下ida配置文件就没问题了
最后于 2020-12-29 10:13
被hhkqqs编辑
,原因:
|
|
|
|
[原创]内核层自己发送IRP请求操作文件全面总结(已完整调试, x86/x64各系统通用)
低调putchar 我查了下,Patch Guard是针对内核模块: ntoskrnl.exe的,而文件系统驱动:ntfs.sys/fastfat.sys PG会忽略的。 当然也不排除以后的系统微软可能要增加对文件系统 ...引用某个大佬的pg_context,现在的pg今非昔比了 “ 0 : A generic data region 1 : Modification of a function or .pdata 2 : A processor IDT 3 : A processor GDT 4 : Type 1 process list corruption 5 : Type 2 process list corruption 6 : Debug routine modification 7 : Critical MSR modification 8 : Object type 9 : A processor IVT a : Modification of a system service function b : A generic session data region c : Modification of a session function or .pdata d : Modification of an import table e : Modification of a session import table f : Ps Win32 callout modification 10 : Debug switch routine modification 11 : IRP allocator modification 12 : Driver call dispatcher modification 13 : IRP completion dispatcher modification 14 : IRP deallocator modification 15 : A processor control register 16 : Critical floating point control register modification 17 : Local APIC modification 18 : Kernel notification callout modification 19 : Loaded module list modification 1a : Type 3 process list corruption 1b : Type 4 process list corruption 1c : Driver object corruption 1d : Executive callback object modification 1e : Modification of module padding 1f : Modification of a protected process 20 : A generic data region 21 : A page hash mismatch 22 : A session page hash mismatch 23 : Load config directory modification 24 : Inverted function table modification 25 : Session configuration modification 26 : An extended processor control register 27 : Type 1 pool corruption 28 : Type 2 pool corruption 29 : Type 3 pool corruption 2a : Type 4 pool corruption 2b : Modification of a function or .pdata 2c : Image integrity corruption 2d : Processor misconfiguration 2e : Type 5 process list corruption 2f : Process shadow corruption 101 : General pool corruption 102 : Modification of win32k.sys ” |
|
|
|
[原创]内核层自己发送IRP请求操作文件全面总结(已完整调试, x86/x64各系统通用)
膜拜,看原理应该跟pchunter差不多,绕过ssdt函数直接自行下发irp |
|
R3 ZwQuerySystemInformation、快照进程、ZwQueryInformationProcess都是从哪里获取的进程名和路径??
NTSTATUS SeLocateProcessImageName(PEPROCESS Process, PUNICODE_STRING *pImageFileName) 兼容Vista~Win10 |
|
[原创]高版本64位Win10(RS2或更高)下枚举消息钩子的一种思路
低调putchar 楼主强!笔记本修好了!我准备用另一个笔记本,搭建虚拟机环境专门调试WIN10系列,我上I tell you下载WIN10,x64的下载很快,但x86的慢得很,半天下 ...我也是在这个网站下的,我是用百度网盘离线下载然后用油猴插件提取链接,用Internet Download Manager下,基本不低于1M/s |
|
[原创]利用IoDriverObjectType控制内核驱动加载
wowocock 必须把标志type or 0x40,否则只会返回c000000d。不过过不了PG也是枉然。虽然想法不错。 算了当我没说,刚看到18362下调用Callback前也验证了ObjectTypeFlags,不过PG是不行的 if ( ObjectType->TypeInfo.ObjectTypeFlags & 0x40 && ObjectType->CallbackList.Flink != &ObjectType->CallbackList ) { ... v101 = ObpCallPreOperationCallbacks(v98, (__int64)&Dst, (__int64)&v182); ... }
最后于 2020-11-21 12:01
被hhkqqs编辑
,原因:
|
|
[求助]假设我将PE文件拉伸后然后创建线程,将线程函数设置为程序入口点,但是为什么执行不起来呢,是需要修复IAT表吗?,求解答
论坛内存加载的代码随便搜都一大堆,缺点是这堆代码基本已经跟不上巨硬更新的步伐了,越来越多的dll需要更多的兼容性代码才能正常加载 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值