[求助]请教ring0下如何读/写ring3内存
谢谢大家！已测试成功！

另外还有个小问题，就是KeAttachProcess();之后能否直接对ring3函数进行调用？

如：
////////////////////in ring 3/////////////////////

0x401000:
push ebp
mov ebp,esp

xxxxxxxxxxx

pop ebp
ret
///////////////////////////////////////////////////

////////////////////in ring 0/////////////////////
KeAttachProcess();
call 0x401000
///////////////////////////////////////////////////

[求助]请教ring0下如何读/写ring3内存
我看了一些文章，貌似KeAttachProcess();之后相应进程里的数据可直接读取了。比如：*(ULONG *)0x0401000 = 0xEBFFFFFF;

但：
KeAttachProcess();
KeDetachProcess();
两个函数的地址如何获取？

不想再开新贴了，望高手赐教！

[原创]Hook Shadow SSDT
搜藏了。
拿回电脑后慢慢看。

[下载]Rootkit Hook 专题(CHM版)
谢谢，不过附件好像需要另外下载。
如果离线浏览的话好像就不那么方便啦。

[注意]看雪论坛鼎力打造---2008年力作《加密与解密》（第三版）[2008年6月上旬上市]
买了第二版，有不少新技术，看来第三版还是要买

[求助]请问SSDT中的索引ID1000以上的函数（NtUserValidateHandleSecure）
上MSoft下载了WindowsXP-KB835935-SP2-slp-Symbols

安装。

打开Windbg,Ctrl+s,输入了C:\WINDOWS\Symbols,点ok

重新进入后出现：

Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Unable to read head of debugger data list
Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE
Symbol search path is: C:\WINDOWS\Symbols
Executable search path is:
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
KdDebuggerDataBlock not available!
*******************************************************************************
WARNING: Local kernel debugging requires booting with kernel
debugging support (/debug or bcdedit -debug on) to work optimally.
*******************************************************************************
Windows XP Kernel Version 2600 UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Kernel base = 0x80800000 PsLoadedModuleList = 0x80883620
Debug session time: Wed Feb 20 14:47:31.875 2008 (GMT+8)
System Uptime: 0 days 3:54:28.467
lkd> dd KdDebuggerDataBlock
Couldn't resolve error at 'KdDebuggerDataBlock'
lkd> dd KeServiceDescriptorTable
Couldn't resolve error at 'KeServiceDescriptorTable'

想把这个问题解决因为以后可能要到网吧调程序了.

[分享]最近在研究系统，特意发个东东给大家玩~
爆料真多啊，这年头。。。

[求助]请问SSDT中的索引ID1000以上的函数（NtUserValidateHandleSecure）
谢谢楼上的，楼上的楼上的，楼上的楼上的楼上的 新手需要你们
lkd> dd KeServiceDescriptorTable
Couldn't resolve error at 'KeServiceDescriptorTable'
lkd> dd KeServiceDescriptorTableShadow
Couldn't resolve error at 'KeServiceDescriptorTableShadow '
这台机器装了360，估计是调不成了(关了360重起仍然不行，原来ring0早已不再干净，成为战场了)。
但是换回以前的机器我猜想结果仍然是：
lkd> dd KeServiceDescriptorTableShadow

Couldn't resolve error at 'KeServiceDescriptorTableShadow '
据我所知KeServiceDescriptorTableShadow并不是导出的，似乎写程序的话extern不了，不清楚在WINDBG里能否用DD看到。

求助]请问什么调试/反编译软件会有这样的效果？
看我傻的，只看到了前两个选项，还以为一定要用vm了，WinDbg
名字真有意思

求助]请问什么调试/反编译软件会有这样的效果？
thanks~
还有个问题：
windebug实在不会用，
lkd> dd KeServiceDescriptorTable
这个怎么输入啊？
还有我需要开启kernel debug么？

求助]请问什么调试/反编译软件会有这样的效果？
谢谢
另外还有个小问题就不另外开贴了，请问为什么我用ddk编译的时候连windows.h都通不过编译？
然后就是 GetCurrentProcessID();这种ring3的函数能不能在ring0里调用？

[原创]SSDT Hook的妙用－对抗ring0 inline hook
NtOpenProcess
的头10个字节怎么查出来的？（好像你们很多人都会）

[分享]胡扯]用OpenGL做了个机器人.呵呵
欢迎参考 <Opengl Programming>

[求助]这一句怎么写?
__asm
{
PUSH dword ptr [0x7397B0]
}


这是参数压寨,不知你要写着一句有什么用？

WriteProcessMemory(EDX,0x7397B0,EAX,10,0)//edx,eax的值你要查出来才行。

[求助]getpixel小问题
我不仅要取点，而且要判断棋盘位置（flash游戏，棋盘不规则）。我索性写了个修正函数，判断测了修正就得了。
最嘛分的还是深层搜索问题。我现在这点时间只写了搜索一层。要写多层恐怕要双倍的时间-_-!!

[求助]getpixel小问题
谢谢，已经搞定。
经实验证明getdc(NULL)就可以了-_-!!并不用取什么窗口的句柄（我感觉在opengl绘图类程序理才须取窗口句柄）。
现在的问题就是这个象素点实在不好确定，棋盘读取的判断老实有失误！：0