Ta的论坛

头图
皮肤套装

使用

hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2024-8-3 00:34 0 [原创]高版本64位Win10（RS2或更高）下枚举消息钩子的一种思路 wx_空格ㄨ_797 HOOK结构体，获取到的HOOK结构中数据基本都是对的，但是HookObject->ihmod这个值要么-1要么为1，这个让我很费解，我都系统版本是19041，楼主，出现这种结果，大概原 ... -1 1都是正常的值吧，取值非负就用RtlQueryAtomInAtomTable拿模块名或者PROCESSINFO::ahmodLibLoaded拿模块基址，首发版的win11这个方法还能用，19041应该也不在话下
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2024-7-27 06:01 0 [原创]高版本64位Win10（RS2或更高）下枚举消息钩子的一种思路 wx_空格ㄨ_797 HANDLE ObjectHandle = (HANDLE)(i \| (gSharedInfo->aheList[i].wUniq 因为句柄就是用这个规则生成的，HIWORD==wUniq, LOWORD==Index
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2022-3-12 23:49 0 [原创]对PCHunterV 1.57授权的逆向分析 0xC5 目前好像支持1809以下的版本，我的系统一直停在1809没更新，所以这个软件对我来说还是很有用的最多支持到1909，但更新补丁在20年之后的很可能会拉闸，不管版本号多旧都可能，包括win7
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2022-3-12 09:52 0 [分享]一个方便的任意函数调用库声明变参函数能解决的事却拐弯抹角伪造返回地址，是何居心
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-4-26 00:07 0 [原创]我洗个澡就绕过了杀软的防护 666
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-4-4 01:34 0 [原创]win10 1909逆向（绕过PG，实现内核HOOK）没看懂为何其他在运行的进程改不了页表的PXE，难道刷TLB也不行么最后于 2021-4-4 01:44 被hhkqqs编辑，原因：
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-2-5 01:40 0 [原创]Win10 DiSPATCH_LEVEL下读取物理内存低调putchar hhkqqs 代码有漏洞，在配置高容量内存条的机子上，MmAllocateContinguousMemory申请的页可能处于2M大分页或1G大分页中，此时的PTE ... 没错，512G分页对配置要求太高了估计一般人接触不到
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-18 12:42 0 [原创]关于QQ读取Chrome历史记录的澄清才1天不到就有人跳出来洗了，好活
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-18 12:21 2 [原创]QQ后台读取历史记录？有点冤枉企鹅了! 我感觉你像是利益相关人员这么急着给人家站队，群号多少有钱一起恰最后于 2021-1-18 12:47 被hhkqqs编辑，原因：
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-17 01:05 0 [原创]关于QQ读取Chrome历史记录的澄清这个好办，把文件夹设成只读就不会更新浏览记录了，或者用无痕模式浏览网页
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-14 16:13 0 没有意义的帖子删了 hzqst f79K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6L8$3y4A6j5h3I4Q4x3X3g2@1k6h3y4Z5L8X3g2@1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3c8X3!0J5N6h3#2K6i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8U0N6X3j5K6R3J5x3e0M7@1i4K6u0V1x3r3y4V1z5g2)9J5k6o6b7$3z5e0m8Q4x3X3c8T1x3o6b7K6i4K6u0V1y4X3u0S2x3K6t1^5y4h3k6T1j5$3b7&6i4K6u0r3K9r3!0%4i4K6u0V1N6r3!0Q4x3X3c8W2L8X3q4T1L8r3f1`. ... 这个注册表项的读取是在其他内核模块还是在nt里被编码了，我直接搜字符没看到
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-14 16:09 0 没有意义的帖子删了 ~ 最后于 2021-1-14 16:12 被hhkqqs编辑，原因：
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-14 14:34 0 没有意义的帖子删了 69fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8X3S2W2L8s2m8Q4x3V1j5@1x3o6M7K6x3e0p5&6i4K6u0r3M7s2u0G2N6r3g2U0N6q4)9J5k6r3q4Y4j5h3W2F1M7%4c8Q4x3X3c8K6M7r3g2U0N6h3I4S2N6r3W2$3k6g2)9J5k6r3g2^5k6h3y4#2N6r3W2G2L8W2)9J5k6s2y4A6k6r3g2Q4x3X3c8U0K9r3q4F1L8X3g2D9i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1K9h3g2K6i4K6u0V1K9h3^5`. 奇怪的是我直接在内核搜相关注册表字符是搜不到的，怀疑相关字符做了编码
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-13 17:24 0 [求助]关于结构体重定义换个麻烦点的方法，define一下所有成员的偏移值，用的上的成员就那几个
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-12 18:44 0 [已解决]汇编写法中如何保存 xmm寄存器 mb_pmtcimdp OK 终于可以了，非常感谢。有没有什么好的汇编语法手册，VS要求语法很严谨。 Kip Irvine的Assembly Language For x86 Processors，覆盖了x86和x86-64，扩展指令书中没有介绍但是看Intel手册也够用了
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-12 16:13 0 [已解决]汇编写法中如何保存 xmm寄存器看你这语法明显是masm，官方文档里初始化数据没显示支持16字节的数，可以用dq 2 dup(0)代替
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-12 12:21 0 [已解决]汇编写法中如何保存 xmm寄存器 2楼无脑水贴罢了，你用的指令要求内存16字节对齐，如果你把xmmxxx对齐了，movaps movdqa movapd都能实现你的要求，没对齐就从movups movdqu movupd任选一个
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2020-12-30 00:15 0 [原创]PE文件格式学习(3)——IAT 34r7hm4n 我刚刚试了下gcc编译，还是有INT的应该有编译选项，我找过几个exe，统统只有IAT
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2020-12-29 19:12 0 [原创] 剖析 InfinityHook 原理掀起一场更激烈的攻与防恶战低调putchar 我下载了相同内核版本不同内核补丁的WIN7 x64 SP1的ntoskrnl.exe,作了比较发现其中1个ntoskrnl.exe(6.1.7601.24384)的EtwpDebuggerData在 ... 节区搜索是加快了速度，但不同系统考虑兼容性综合下来真不比整个映像搜快多少，毕竟目前系统我还没发现有第二处特征码跟EtwpDebuggerData重合的
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2020-12-29 14:34 0 [原创]PE文件格式学习(3)——IAT 帖子截图的书上内容明显不严谨，INT只有特定的编译器才会生成比如vs的编译器，很多编译器只生成IAT

精华数

RANk

雪币

活跃值

关注数

粉丝数

课程经验

学习收益

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值：

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值

hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2024-8-3 00:34 0 [原创]高版本64位Win10（RS2或更高）下枚举消息钩子的一种思路 wx_空格ㄨ_797 HOOK结构体，获取到的HOOK结构中数据基本都是对的，但是HookObject->ihmod这个值要么-1要么为1，这个让我很费解，我都系统版本是19041，楼主，出现这种结果，大概原 ... -1 1都是正常的值吧，取值非负就用RtlQueryAtomInAtomTable拿模块名或者PROCESSINFO::ahmodLibLoaded拿模块基址，首发版的win11这个方法还能用，19041应该也不在话下
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2024-7-27 06:01 0 [原创]高版本64位Win10（RS2或更高）下枚举消息钩子的一种思路 wx_空格ㄨ_797 HANDLE ObjectHandle = (HANDLE)(i \| (gSharedInfo->aheList[i].wUniq 因为句柄就是用这个规则生成的，HIWORD==wUniq, LOWORD==Index
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2022-3-12 23:49 0 [原创]对PCHunterV 1.57授权的逆向分析 0xC5 目前好像支持1809以下的版本，我的系统一直停在1809没更新，所以这个软件对我来说还是很有用的最多支持到1909，但更新补丁在20年之后的很可能会拉闸，不管版本号多旧都可能，包括win7
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2022-3-12 09:52 0 [分享]一个方便的任意函数调用库声明变参函数能解决的事却拐弯抹角伪造返回地址，是何居心
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-4-26 00:07 0 [原创]我洗个澡就绕过了杀软的防护 666
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-4-4 01:34 0 [原创]win10 1909逆向（绕过PG，实现内核HOOK）没看懂为何其他在运行的进程改不了页表的PXE，难道刷TLB也不行么最后于 2021-4-4 01:44 被hhkqqs编辑，原因：
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-2-5 01:40 0 [原创]Win10 DiSPATCH_LEVEL下读取物理内存低调putchar hhkqqs 代码有漏洞，在配置高容量内存条的机子上，MmAllocateContinguousMemory申请的页可能处于2M大分页或1G大分页中，此时的PTE ... 没错，512G分页对配置要求太高了估计一般人接触不到
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-18 12:42 0 [原创]关于QQ读取Chrome历史记录的澄清才1天不到就有人跳出来洗了，好活
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-18 12:21 2 [原创]QQ后台读取历史记录？有点冤枉企鹅了! 我感觉你像是利益相关人员这么急着给人家站队，群号多少有钱一起恰最后于 2021-1-18 12:47 被hhkqqs编辑，原因：
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-17 01:05 0 [原创]关于QQ读取Chrome历史记录的澄清这个好办，把文件夹设成只读就不会更新浏览记录了，或者用无痕模式浏览网页
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-14 16:13 0 没有意义的帖子删了 hzqst f79K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6L8$3y4A6j5h3I4Q4x3X3g2@1k6h3y4Z5L8X3g2@1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3c8X3!0J5N6h3#2K6i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8U0N6X3j5K6R3J5x3e0M7@1i4K6u0V1x3r3y4V1z5g2)9J5k6o6b7$3z5e0m8Q4x3X3c8T1x3o6b7K6i4K6u0V1y4X3u0S2x3K6t1^5y4h3k6T1j5$3b7&6i4K6u0r3K9r3!0%4i4K6u0V1N6r3!0Q4x3X3c8W2L8X3q4T1L8r3f1`. ... 这个注册表项的读取是在其他内核模块还是在nt里被编码了，我直接搜字符没看到
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-14 16:09 0 没有意义的帖子删了 ~ 最后于 2021-1-14 16:12 被hhkqqs编辑，原因：
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-14 14:34 0 没有意义的帖子删了 69fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8X3S2W2L8s2m8Q4x3V1j5@1x3o6M7K6x3e0p5&6i4K6u0r3M7s2u0G2N6r3g2U0N6q4)9J5k6r3q4Y4j5h3W2F1M7%4c8Q4x3X3c8K6M7r3g2U0N6h3I4S2N6r3W2$3k6g2)9J5k6r3g2^5k6h3y4#2N6r3W2G2L8W2)9J5k6s2y4A6k6r3g2Q4x3X3c8U0K9r3q4F1L8X3g2D9i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1K9h3g2K6i4K6u0V1K9h3^5`. 奇怪的是我直接在内核搜相关注册表字符是搜不到的，怀疑相关字符做了编码
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-13 17:24 0 [求助]关于结构体重定义换个麻烦点的方法，define一下所有成员的偏移值，用的上的成员就那几个
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-12 18:44 0 [已解决]汇编写法中如何保存 xmm寄存器 mb_pmtcimdp OK 终于可以了，非常感谢。有没有什么好的汇编语法手册，VS要求语法很严谨。 Kip Irvine的Assembly Language For x86 Processors，覆盖了x86和x86-64，扩展指令书中没有介绍但是看Intel手册也够用了
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-12 16:13 0 [已解决]汇编写法中如何保存 xmm寄存器看你这语法明显是masm，官方文档里初始化数据没显示支持16字节的数，可以用dq 2 dup(0)代替
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2021-1-12 12:21 0 [已解决]汇编写法中如何保存 xmm寄存器 2楼无脑水贴罢了，你用的指令要求内存16字节对齐，如果你把xmmxxx对齐了，movaps movdqa movapd都能实现你的要求，没对齐就从movups movdqu movupd任选一个
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2020-12-30 00:15 0 [原创]PE文件格式学习(3)——IAT 34r7hm4n 我刚刚试了下gcc编译，还是有INT的应该有编译选项，我找过几个exe，统统只有IAT
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2020-12-29 19:12 0 [原创] 剖析 InfinityHook 原理掀起一场更激烈的攻与防恶战低调putchar 我下载了相同内核版本不同内核补丁的WIN7 x64 SP1的ntoskrnl.exe,作了比较发现其中1个ntoskrnl.exe(6.1.7601.24384)的EtwpDebuggerData在 ... 节区搜索是加快了速度，但不同系统考虑兼容性综合下来真不比整个映像搜快多少，毕竟目前系统我还没发现有第二处特征码跟EtwpDebuggerData重合的
hhkqqs 雪币： 14763 活跃值： (8039) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 2020-12-29 14:34 0 [原创]PE文件格式学习(3)——IAT 帖子截图的书上内容明显不严谨，INT只有特定的编译器才会生成比如vs的编译器，很多编译器只生成IAT

{{ user_info.username }}