|
[求助]一个结构问题 帮帮忙呀
谢谢了,菊冬 |
|
[求助]一个结构问题 帮帮忙呀
typedef unsigned long* PPTE; typedef struct _HOOKED_LIST_ENTRY { _HOOKED_LIST_ENTRY* pNextEntry; PVOID pExecuteView; PVOID pReadWriteView; PPTE pExecutePte; PPTE pReadWritePte; PVOID pfnCallIntoHookedPage; ULONG pDriverStarts; ULONG pDriverEnds; } HOOKED_LIST_ENTRY, *PHOOKED_LIST_ENTRY; 已经定义,随便找个驱动放里边,还是提示错误 |
|
[求助]一个结构问题 帮帮忙呀
自己顶下。。。 |
|
[求助]如何获得DeviceObject的DeviceName?
PLDR_DATA_TABLE_ENTRY Ldr = NULL; Ldr = (PLDR_DATA_TABLE_ENTRY)pDrvObj->DriverSection; if ( MmIsAddressValid(Ldr) ) { UnicodeToChar(&Ldr->BaseDllName,SaveDriveName[nCount]); UnicodeToChar(&Ldr->FullDllName,SaveDrivePath[nCount]); SaveDriveBase[nCount] = Ldr->DllBase; SaveDriveSize[nCount] = Ldr->SizeOfImage; SaveDriveEntry[nCount] = Ldr->EntryPoint; SaveDriveLoad[nCount] = Ldr->LoadCount; KdPrint(("-------------------------------\n")); nCount++; } |
|
|
|
[求助]关于 判断 中断描述表
是呀,过不了心里老是痒痒的,研究了不少方法都不咋滴呀 |
|
[求助]ssdt hook NtGetContextThread/NtSetContextThread 在打开OD附件任何程序就蓝屏
jmp dword ptr [TenNtGetContextThread] 你没查看下跳转地址对不 |
|
[求助]多个HOOK 自定义函数 地址相同
没有弄错 ,不信你复制试验下。。这些HOOK 在单个应用的情况下都OK的,多个同时HOOK 就蓝了,没办法,我都用的UCHAR 数组替代的很正常不会出现上述现象 |
|
[求助]hook PsLookupProcessByProcessId 蓝屏
lkd> uf f43a5280 对应 0xf440e280 f43a5280 8bff mov edi,edi f43a5282 55 push ebp f43a5283 8bec mov ebp,esp f43a5285 8b450c mov eax,dword ptr [ebp+0Ch] f43a5288 50 push eax f43a5289 8b4d08 mov ecx,dword ptr [ebp+8] f43a528c 51 push ecx f43a528d e8ceffffff call f43a5260 f43a5292 5d pop ebp f43a5293 c20800 ret 8 lkd> u f43a5260 对应0xf440e260 f43a5260 8bff mov edi,edi f43a5262 55 push ebp f43a5263 8bec mov ebp,esp f43a5265 e9e9d61c8c jmp nt!PsLookupProcessByProcessId+0x5 (80572953) f43a526a 90 nop f43a526b 90 nop f43a526c cc int 3 f43a526d cc int 3 代码改了我也懒得改回来了,我就是返回的0xf440e260 地址 他就是有问题。这个是刚刚弄的 inline 没有问题 |
|
[求助]hook PsLookupProcessByProcessId 蓝屏
代码让我改了,但是结果都是一样的。现在奇怪是 我把PsLookupProcessByProcessId 整个函数复制一份到一个新函数,然后在MyNewMmGetSystemRoutineAddress 直接返回新函数地址 结果正常。 但是 我直接赋值给0xf440e260 地址,他就蓝屏,按照汇编的情况,不应该蓝屏,不解。。。。 |
|
[求助]hook PsLookupProcessByProcessId 蓝屏
刚填写上去了,就这个样子 其实看汇编代码就知道个差不多了, |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值