|
[原创]Hook技术:Ring3层下的Inline Hook详解【附源码】
苏啊树 如果在你_OldCode数组后面,直接加上跳回到__MessageBoxAddress+5的地址处的机器码,并把_OldCode改为可执行,执行完你想要的操作再跳到_OldCode不就可以了,省得来来 ...有弊端,如果函数头长这样: 55 push ebp 8B EC mov ebp, esp B8 78 56 34 12 mov eax, 12345678h 替换5字节之后,Addr+5处是截断的指令56 34 12,肯定不能直接jmp过去 |
|
[原创]进程的攻与“防” ---- 进程隐藏(Win7 x32 绕过PC Hunter)
这种抄3年前旧贴的文章也配评为优质?呵呵,看来论坛文章质量是每况愈下 |
|
[求助]怎样快速扫描64位进程内存
注入,注册异常处理函数,暴力搜完之后和主进程通信? |
|
[求助]IoVolumeDeviceToDosName有小概率出现缺页异常
wowocock 上面不是说了用 ExQueueWorkItem 降到PASSIVE_LEVEL去干活。学习了,看来还是中断级别的问题?不过派遣函数里面本身就是passive_level的,难道说这期间有变化吗 |
|
[求助]IoVolumeDeviceToDosName有小概率出现缺页异常
Thead 试试 ExQueueWorkItem + IoQueryFileDosDeviceNameIoQueryFileDosDeviceName本身也是调用IoVolumeDeviceToDosName,所以还是有可能出现访问到缺页内存的问题 |
|
[求助]IoVolumeDeviceToDosName有小概率出现缺页异常
叁毛 不要在kernel转,在应用层转或者应用层发io请求到驱动转。这个应用层发IO请求有哪些情况,我只在IRP_MJ_DEVICE_CONTROL里面调用这个函数,满足要求吗 |
|
[原创]C/C++ 实现获取Windows操作系统版本信息
这个头文件的函数太臃肿了,直接拿到buildnumber比较十几个值就知道是那个版本的系统了 |
|
[求助]当windows 进行版本更新时,wuapi.h中有什么API可以在更新的时候知道我更新后的版本号
我说的就是更新下载的ntoskrnl,读现在系统的内核文件没有任何意义,至于下载的文件路径,需要你自己研究
最后于 2019-7-1 17:10
被hhkqqs编辑
,原因:
|
|
[求助]当windows 进行版本更新时,wuapi.h中有什么API可以在更新的时候知道我更新后的版本号
wx_幼儿园的王 这个是获取当前版本号,我的情景是,我下载好了下一个版本,但是没有重启,版本还没有改版,但是我想要得到下一个版本的版本号,不是当前的版本号那三楼的意思已经很清楚了,读取新版本的ntoskrnl.exe GetFileVersionInfo定位OS_VERSION_INFO 然后把ProductVersion给取出来
最后于 2019-7-1 16:00
被hhkqqs编辑
,原因:
|
|
[求助]当windows 进行版本更新时,wuapi.h中有什么API可以在更新的时候知道我更新后的版本号
wx_幼儿园的王 就是假如我的windows是1803版本,然后检查更新以后他会显示针对windows10的功能更新1903,怎么使用c++获得这个版本号或者更新idntdll.dll!RtlGetVersion |
|
[求助]指定位置申请内存一直失败
这段地址是有可能被几个TEB块提前占坑的,还是动态申请做好重定位比较好。 |
|
[求助]使用NtUserSendInput模拟输入
脚本灬丨小子 这里是来自九年后的回复,在win10 1607上测试通过,先去win32kfull.sys中找到NtUserSendInput然后再调用,注意要先挂靠到GUI进程中才能调用#define&nb ...其实只要sessionid不是0就必定能调用,用PsGetCurrentProcessSessionId判断下就够了
最后于 2019-6-26 11:55
被hhkqqs编辑
,原因:
|
|
[原创]稳定多线程中的inline hook
九阳道人 11楼,跳到 目标地址+5 之后会发生错误,因为内存没有开辟新的栈帧我的理解是按你上面那个hook message的例子,自己构造的函数本身就写有push ebp mov esp, ebp 如果只是对参数进行判断修改没有产生任何新的栈帧,立刻跳转回去问题也不大啊,只不过构造的函数不ret而已 |
|
[原创]稳定多线程中的inline hook
楼主,传统的inline hook有线程隐患主要是unhook()没执行完吧,如果是修改了函数参数后立即无条件跳转到FunctionAddress+5呢,还会存在这种问题么? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值