|
[结贴]驱动中汇编调用C函数的方法
我明白你的意思,刚才看了一个文章, PUSH ID PUSH IC CALL 函数 CMP EAX,1 我只是不明白他的方法 也没有例子,是否有这样的指令 invoke 直接调用 还是得自己写一个strncmp的代码 |
|
[已解决]一个SSDT HOOK中的疑惑(谢谢帮助我的兄弟们)
谢谢了楼上 终于明白了。 |
|
[已解决]一个SSDT HOOK中的疑惑(谢谢帮助我的兄弟们)
好4点了 终于弄明白了 期待高手解答 *((ULONG*)SaveSSDT[122]) 这个是正确的 唯一的是 地址不对 我这个地址确实是 NTOPENPROCESS 的地址,上次没办法了,重新编写了一个驱动 ,通过分析发现 要HOOK NTOPENPROCESS 并不是把MYNTOPENPROCESS 赋值给NTOPENPROCESS 那样的 而是nt!KiServiceTable+0x1e8 这个地址 流程是 ULONG address; address=nt!KiServiceTable+0x1e8 ; MemOpen(); *((ULONG*)address)=MYNtOpenProcess; MemClose(); 这样一点问题也没有,呜呜呜. 期待高手帮忙解答下。 |
|
[已解决]一个SSDT HOOK中的疑惑(谢谢帮助我的兄弟们)
真晕了。。。。又试验了用 NTSTATUS MyNtOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId OPTIONAL) 也不行 哇哇哇。。。 |
|
[已解决]一个SSDT HOOK中的疑惑(谢谢帮助我的兄弟们)
实在没有办法了,我估计是参数的问题了,原先我自定义函数 比如 NTSTATUS MyNtOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId OPTIONAL) 自定义函数字节大小问题我没有想到好办法搞定,有一个笨方法就是90 懒得弄, 为了省事 直接定义 UCHAR MyNtOpenProcess[0X300] 然后把原始代码复制重定位到 MyNtOpenProcess里 经过试验 不管 SSDT 和INLINE 都很正常 在试验下吧 有没有好方法 让自定义函数 空间大点 |
|
[已解决]一个SSDT HOOK中的疑惑(谢谢帮助我的兄弟们)
弄了 这个东西早弄了 ,试验了N种方法也不能XX |
|
|
|
[已解决]一个SSDT HOOK中的疑惑(谢谢帮助我的兄弟们)
帮帮忙 大哥们 给点鼓励吧 |
|
[已解决]一个SSDT HOOK中的疑惑(谢谢帮助我的兄弟们)
自己顶下 。。。。 |
|
[原创]Merry Christmas and Happy New Year!
圣诞快乐,新年快乐 |
|
|
|
[已解决]复制函数代码到另一个函数重定位的问题
复制过去了 但是出错 蓝屏 主要是想SSDT 一个函数 把原函数 保存 SSDT |
|
[已解决]复制函数代码到另一个函数重定位的问题
自己顶下。。。。。。 |
|
[讨论]不改CR0和MDL也可以改写SSDT
我也是 我恢复了 全部的SSDT SHADOW 都没问题 |
|
|
|
|
|
[原创]出售软件
出租此楼。。。。。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值